Android सुरक्षा बुलेटिन-जून 2017

5 जून, 2017 को प्रकाशित | 17 अगस्त 2017 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण है। 05 जून, 2017 के सुरक्षा पैच स्तर या बाद में इन सभी मुद्दों का समाधान। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए Pixel और Nexus अपडेट शेड्यूल देखें।

पार्टनर्स को कम से कम एक महीने पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी में जारी किया जाएगा और इस बुलेटिन से लिंक किया जाएगा। इस बुलेटिन में AOSP के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में से सबसे गंभीर मीडिया फ्रेमवर्क में एक महत्वपूर्ण सुरक्षा भेद्यता है जो मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकती है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि मंच और सेवा शमन विकास के उद्देश्यों के लिए बंद कर दिए गए हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए एंड्रॉइड और Google Play प्रोटेक्ट मिटिगेशन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

हम सभी ग्राहकों को अपने उपकरणों के लिए इन अद्यतनों को स्वीकार करने के लिए प्रोत्साहित करते हैं।

नोट: Google डिवाइस अपडेट अनुभाग में नवीनतम ओवर-द-एयर अपडेट (ओटीए) और Google उपकरणों के लिए फ़र्मवेयर छवियों की जानकारी उपलब्ध है।

घोषणाओं

  • हमने मासिक सुरक्षा बुलेटिन को सुव्यवस्थित किया है ताकि पढ़ने में आसानी हो। इस अद्यतन के भाग के रूप में, भेद्यता की जानकारी को प्रभावित घटक द्वारा वर्गीकृत किया जाता है, एक सुरक्षा पैच स्तर के भीतर घटक नाम से क्रमबद्ध किया जाता है, और Google डिवाइस-विशिष्ट जानकारी को समर्पित अनुभाग में होस्ट किया जाता है।
  • इस बुलेटिन में एंड्रॉइड पार्टनर को लचीलापन प्रदान करने के लिए दो सुरक्षा पैच लेवल स्ट्रिंग्स हैं जो सभी एंड्रॉइड डिवाइसों के समान समान कमजोरियों को जल्दी से ठीक करने के लिए लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2017-06-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-06-01 (और पिछले सभी सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2017-06-05 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-06-01 और 2017-06-05 (और पिछले सभी सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।

एंड्रॉइड और Google प्ले प्रोटेक्ट मिटिगेशन

यह एंड्रॉइड सिक्योरिटी प्लेटफॉर्म और सर्विस प्रोटेक्शन जैसे गूगल प्ले प्रोटेक्ट द्वारा उपलब्ध कराए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया जाता है। हम सभी उपयोगकर्ताओं को एंड्रॉइड के नवीनतम संस्करण में जहां संभव हो अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम Google Play प्रोटेक्ट के माध्यम से दुरुपयोग के लिए सक्रिय रूप से निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देती है। Google Play सुरक्षा Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं।

2017-06-01 सुरक्षा पैच स्तर - भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-06-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत वर्गीकृत किया जाता है जो उन्हें प्रभावित करते हैं। समस्या का विवरण और CVE, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन किए गए AOSP संस्करण (जहां लागू हो) के साथ एक तालिका है। जब उपलब्ध होता है, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं, जिसने बग आईडी को समस्या को संबोधित किया, जैसे AOSP परिवर्तन सूची। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।

ब्लूटूथ

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2017-0645 A-35385327 ईओपी उदारवादी 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0646 A-33899337 ईद उदारवादी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

पुस्तकालयों

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकती है जो एक अनपेक्षित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करता है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2015-8871 A-35443562 * आरसीई उच्च 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2016-8332 A-37761553 * आरसीई उच्च 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2016-5131 A-36554209 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2016-4658 A-36554207 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0663 A-37104170 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-7376 A-36555370 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-5056 A-36809819 आरसीई उदारवादी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-7375 A-36556310 आरसीई उदारवादी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0647 A-36392138 ईद उदारवादी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2016-1839 A-36553781 करने योग्य उदारवादी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

मीडिया की रूपरेखा

इस खंड में सबसे गंभीर भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके दूरस्थ हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2017-0637 A-34064500 आरसीई नाजुक 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0391 A-32322258 करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0640 A-33129467 * करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1
CVE-2017-0641 A-34360591 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0642 A-34819017 करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0643 A-35645051 * करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1
CVE-2017-0644 A-35472997 * करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1

सिस्टम यूआई

इस खंड की सबसे गंभीर भेद्यता एक हमलावर को विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके अनपेक्षित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2017-0638 ए -36368305 आरसीई उच्च 7.1.1, 7.1.2

2017-06-05 सुरक्षा पैच स्तर - भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-06-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत वर्गीकृत किया जाता है जो उन्हें प्रभावित करते हैं और जिसमें सीवीई, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन किए गए एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल हैं। जब उपलब्ध होता है, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं, जिसने बग आईडी को समस्या को संबोधित किया, जैसे AOSP परिवर्तन सूची। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।

कर्नेल घटक

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2017-0648 A-36101220 * ईओपी उच्च FIQ डिबगर
CVE-2017-0651 A-35644815 * ईद कम ION सबसिस्टम

पुस्तकालयों

इस अनुभाग में सबसे गंभीर भेद्यता संवेदनशील जानकारी तक पहुंच प्राप्त करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2015-7995 A-36810065 * ईद उदारवादी 4.4.4 है

मीडियाटेक घटक

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2017-0636 A-35310230 *
M-ALPS03162263
ईओपी उच्च कमांड कतार चालक
CVE-2017-0649 A-34468195 *
M-ALPS03162283
ईओपी उदारवादी ध्वनि चालक

NVIDIA के घटक

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2017-6247 A-34386301 *
एन-सीवीई-2017-6247
ईओपी उच्च ध्वनि चालक
CVE-2017-6248 A-34372667 *
एन-सीवीई-2017-6248
ईओपी उदारवादी ध्वनि चालक
CVE-2017-6249 A-34373711 *
एन-सीवीई-2017-6249
ईओपी उदारवादी ध्वनि चालक

क्वालकॉम घटक

इस खंड में सबसे गंभीर भेद्यता कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक समीपवर्ती हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2017-7371 A-36250786
QC-CR # 1101054
आरसीई नाजुक ब्लूटूथ ड्राइवर
CVE-2017-7365 A-32449913
QC-CR # 1017009
ईओपी उच्च बूटलोडर
CVE-2017-7366 A-36252171
QC-CR # 1036161 [ 2 ]
ईओपी उच्च GPU ड्राइवर
CVE-2017-7367 A-34514708
QC-CR # 1008421
करने योग्य उच्च बूटलोडर
CVE-2016-5861 A-36251375
QC-CR # 1103510
ईओपी उदारवादी वीडियो ड्राइवर
CVE-2016-5864 A- 36251231
QC-CR # 1105441
ईओपी उदारवादी ध्वनि चालक
CVE-2017-6421 A-36251986
QC-CR # 1110563
ईओपी उदारवादी MStar टचस्क्रीन ड्राइवर
CVE-2017-7364 A- 36252179
QC-CR # 1113926
ईओपी उदारवादी वीडियो ड्राइवर
CVE-2017-7368 A-33452365
QC-CR # 1103085
ईओपी उदारवादी ध्वनि चालक
CVE-2017-7369 A-33751424
QC-CR # 2009216 [ 2 ]
ईओपी उदारवादी ध्वनि चालक
CVE-2017-7370 A-34328139
QC-CR # 2006159
ईओपी उदारवादी वीडियो ड्राइवर
CVE-2017-7372 A- 36251497
QC-CR # 1110068
ईओपी उदारवादी वीडियो ड्राइवर
CVE-2017-7373 A- 36251984
QC-CR # 1090244
ईओपी उदारवादी वीडियो ड्राइवर
CVE-2017-8233 A-34621613
QC-CR # 2004036
ईओपी उदारवादी कैमरा ड्राइवर
CVE-2017-8234 A-36252121
QC-CR # 832920
ईओपी उदारवादी कैमरा ड्राइवर
CVE-2017-8235 A- 36252376
QC-CR # 1083323
ईओपी उदारवादी कैमरा ड्राइवर
CVE-2017-8236 A-35047217
QC-CR # 2009606
ईओपी उदारवादी आईपीए चालक
CVE-2017-8237 A- 36252377
QC-CR # 1110522
ईओपी उदारवादी नेटवर्किंग ड्राइवर
CVE-2017-8242 A-34327981
QC-CR # 2009231
ईओपी उदारवादी सुरक्षित निष्पादन पर्यावरण संचारक चालक
CVE-2017-8239 A- 36251230
QC-CR # 1091603
ईद उदारवादी कैमरा ड्राइवर
CVE-2017-8240 A- 36251985
QC-CR # 856379
ईद उदारवादी पिन नियंत्रक ड्राइवर
CVE-2017-8241 A-34203184
QC-CR # 1069175
ईद कम वाई-फाई ड्राइवर

सिनैप्टिक्स घटक

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2017-0650 A-35472278 * ईओपी कम टचस्क्रीन ड्राइवर

क्वालकॉम बंद-स्रोत घटक

ये कमजोरियां क्वालकॉम घटकों को प्रभावित करती हैं और 2014-2016 से क्वालकॉम एएमएसएस सुरक्षा बुलेटिन में और विस्तार से वर्णित हैं। वे एंड्रॉइड सुरक्षा पैच स्तर के साथ अपने फिक्स को जोड़ने के लिए इस एंड्रॉइड सुरक्षा बुलेटिन में शामिल हैं। इन कमजोरियों के लिए फिक्स क्वालकॉम से सीधे उपलब्ध हैं।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2014-9960 A-37280308 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2014-9961 A-37279724 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2014-9953 A-36714770 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2014-9967 A-37281466 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2015-9026 A-37277231 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2015-9027 A-37279124 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2015-9008 A-36384689 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2015-9009 A-36393600 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2015-9010 A-36393101 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2015-9011 A-36714882 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2015-9024 A-37265657 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2015-9012 A-36384691 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2015-9013 A-36393251 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2015-9014 A-36393750 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2015-9015 A-36714120 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2015-9029 A-37276981 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2016-10338 A-37277738 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2016-10336 A-37278436 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2016-10333 A-37280574 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2016-10341 A-37281667 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2016-10335 A-37282802 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2016-10340 A-37280614 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2016-10334 A-37280664 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2016-10339 A-37280575 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2016-10298 A-36393252 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2016-10299 A-32577244 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2014-9954 A-36388559 * एन / ए उच्च बंद-स्रोत घटक
CVE-2014-9955 A-36384686 * एन / ए उच्च बंद-स्रोत घटक
CVE-2014-9956 A-36389611 * एन / ए उच्च बंद-स्रोत घटक
CVE-2014-9957 A-36387564 * एन / ए उच्च बंद-स्रोत घटक
CVE-2014-9958 A-36384774 * एन / ए उच्च बंद-स्रोत घटक
CVE-2014-9962 A-37275888 * एन / ए उच्च बंद-स्रोत घटक
CVE-2014-9963 A-37276741 * एन / ए उच्च बंद-स्रोत घटक
CVE-2014-9959 A-36383694 * एन / ए उच्च बंद-स्रोत घटक
CVE-2014-9964 A-37280321 * एन / ए उच्च बंद-स्रोत घटक
CVE-2014-9965 A-37278233 * एन / ए उच्च बंद-स्रोत घटक
CVE-2014-9966 A-37282854 * एन / ए उच्च बंद-स्रोत घटक
CVE-2015-9023 A-37276138 * एन / ए उच्च बंद-स्रोत घटक
CVE-2015-9020 A-37276742 * एन / ए उच्च बंद-स्रोत घटक
CVE-2015-9021 A-37276743 * एन / ए उच्च बंद-स्रोत घटक
CVE-2015-9025 A-37276744 * एन / ए उच्च बंद-स्रोत घटक
CVE-2015-9022 A-37280226 * एन / ए उच्च बंद-स्रोत घटक
CVE-2015-9028 A-37277982 * एन / ए उच्च बंद-स्रोत घटक
CVE-2015-9031 A-37275889 * एन / ए उच्च बंद-स्रोत घटक
CVE-2015-9032 A-37279125 * एन / ए उच्च बंद-स्रोत घटक
CVE-2015-9033 A-37276139 * एन / ए उच्च बंद-स्रोत घटक
CVE-2015-9030 A-37282907 * एन / ए उच्च बंद-स्रोत घटक
CVE-2016-10332 A-37282801 * एन / ए उच्च बंद-स्रोत घटक
CVE-2016-10337 A-37280665 * एन / ए उच्च बंद-स्रोत घटक
CVE-2016-10342 A-37281763 * एन / ए उच्च बंद-स्रोत घटक

Google डिवाइस अपडेट

इस तालिका में नवीनतम ओवर-द-एयर अपडेट (OTA) में सुरक्षा पैच स्तर और Google उपकरणों के लिए फर्मवेयर छवियां हैं। Google डिवाइस फर्मवेयर की छवियां Google डेवलपर साइट पर उपलब्ध हैं।

Google डिवाइस सुरक्षा पैच स्तर
पिक्सेल / पिक्सेल एक्स्ट्रा लार्ज 05 जून, 2017
नेक्सस 5 एक्स 05 जून, 2017
नेक्सस 6 05 जून, 2017
नेक्सस 6 पी 05 जून, 2017
नेक्सस 9 05 जून, 2017
नेक्सस प्लेयर 05 जून, 2017
पिक्सेल सी 05 जून, 2017

Google डिवाइस अपडेट में इन सुरक्षा कमजोरियों के लिए पैच भी शामिल हैं, यदि लागू हो:

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2017-0639 A-35310991 ईद उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहेंगे:

सीवीई शोधकर्ताओं
CVE-2017-0643, CVE-2017-0641 ट्रेंड माइक्रो का एकुलर जू (ular)
CVE-2017-0645, CVE-2017-0639 एन वह ( @ heeeeen4x ) और बो लियू MS509Team
CVE-2017-0649 Gengjia चेन ( @ chengjia4574 ) और pjf IceSword लैब की, Qihoo 360 प्रौद्योगिकी कंपनी लिमिटेड
CVE-2017-0646 Tencent पीसी प्रबंधक के Godzheng (文选 - @VirtualSeekers )
CVE-2017-0636 शेलफिश ग्रिल टीम के जेक कोरिना ( @JakeCorina )
CVE-2017-8233 जियानकियांग झाओ ( @jianqiangzhao ) और पीजेएफ ऑफ आइसवर्ड लैब, क्यूहु 360
CVE-2017-7368 लुबो झांग ( zlbzlb815@163.com ), युआन-त्सुंग लो ( computernik@gmail.com ), और C0RE टीम के जुक्सियान जियांग
CVE-2017-8242 टेस्ला की उत्पाद सुरक्षा टीम के नाथन क्रैंडल ( @natecray )
CVE-2017-0650 ओमर शवार्ट्ज, अमीर कोहेन, डॉ। आसफ शबताई और बेन गुरू यूनिवर्सिटी यूनिवर्सिटी लैब के डॉ। योसी ओरेन
CVE-2017-0648 एफी रिसर्च , एचसीएल टेक्नोलॉजीज के रोए हे ( @roeehay )
CVE-2017-7369, CVE-2017-6249, CVE-2017-6247, CVE-2017-6248 ट्रेंडमाइक्रो के सेवेंसन ( @lingtongshen )
CVE-2017-0642, CVE-2017-0637, CVE-2017-0638 वसीली वासिलिव
CVE-2017-0640 मोबाइल थ्रेट रिस्पांस टीम , ट्रेंड माइक्रो का VEO ( @VYSEa )
CVE-2017-8236 Tencent सुरक्षा प्लेटफ़ॉर्म विभाग के Xiling गोंग
CVE-2017-0647 यांगकांग ( @dnpushme ) और Qex टीम का लियाडॉन्ग, Qihoo 360
CVE-2017-7370 योंगगांग गुओ ( @guoygang ) की IceSword Lab, Qihoo 360 Technology Co. Ltd
CVE-2017-0651 युआन-स्युंग लो ( computernik@gmail.com ) और C0RE टीम के जुक्सियान जियांग
CVE-2017-8241 गूगल के जुबिन मिश्रा

आम सवाल और जवाब

यह खंड उन सामान्य प्रश्नों का उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन मुद्दों को हल करने के लिए अपडेट किया गया है?

डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल के निर्देशों को पढ़ें।

  • 2017-06-01 के सुरक्षा पैच स्तर या बाद में 2017-06-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2017-06-05 के सुरक्षा पैच स्तर या बाद में 2017-06-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

डिवाइस निर्माता जिनमें ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर पर सेट करना चाहिए:

  • [ro.build.version.security_patch]: [2017-06-01]
  • [ro.build.version.security_patch]: [2017-06-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर होते हैं ताकि एंड्रॉइड पार्टनर में कमजोरियों का एक सबसेट ठीक करने का लचीलापन हो जो सभी एंड्रॉइड डिवाइसों पर समान रूप से जल्दी से समान हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • 01 जून, 2017 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दे शामिल होने चाहिए, साथ ही पिछले सुरक्षा बुलेटिनों में बताए गए सभी मुद्दों के लिए सुधार शामिल हैं।
  • 05 जून, 2017 या नए या नए सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।

साझेदारों को उन सभी मुद्दों के लिए सुधार करने के लिए प्रोत्साहित किया जाता है, जिन्हें वे एक अद्यतन में संबोधित कर रहे हैं।

3. टाइप कॉलम में प्रविष्टियों का क्या मतलब है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियां सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षिप्त परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उत्थान
ईद जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन / ए वर्गीकरण उपलब्ध नहीं है

4. संदर्भ कॉलम में प्रविष्टियां क्या हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के तहत प्रविष्टियां उस संगठन की पहचान करने के लिए एक उपसर्ग हो सकती हैं जिसमें संदर्भ मान होता है।

उपसर्ग संदर्भ
ए- Android बग आईडी
QC- क्वालकॉम संदर्भ संख्या
म- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी ब्रॉडकॉम संदर्भ संख्या

5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे एक * क्या है?

सार्वजनिक रूप से उपलब्ध नहीं होने वाले मुद्दों में संदर्भ स्तंभ में Android बग ID के आगे एक * है । उस समस्या के लिए अद्यतन आमतौर पर Google डेवलपर साइट से उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

संस्करणों

संस्करण तारीख टिप्पणियाँ
1.0 5 जून, 2017 बुलेटिन प्रकाशित।
१.१ 7 जून, 2017 बुलेटिन AOSP लिंक शामिल करने के लिए संशोधित।
1.2 11 जुलाई, 2017 बुलेटिन ने CVE-2017-6249 को शामिल करने के लिए संशोधित किया।
१.३ 17 अगस्त, 2017 संदर्भ संख्या अपडेट करने के लिए बुलेटिन संशोधित।