Android सुरक्षा बुलेटिन—सितंबर 2017

5 सितंबर 2017 को प्रकाशित | 5 अक्टूबर, 2017 को अपडेट किया गया

एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। 05 सितंबर, 2017 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को कम से कम एक महीने पहले सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं और इस बुलेटिन से लिंक किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।

इन मुद्दों में सबसे गंभीर मीडिया ढांचे में एक गंभीर गंभीरता भेद्यता है जो एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकता है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए एंड्रॉइड और Google Play प्रोटेक्ट शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

नोट: Google डिवाइस के लिए नवीनतम ओवर-द-एयर अपडेट (OTA) और फ़र्मवेयर छवियों की जानकारी Google डिवाइस अपडेट अनुभाग में उपलब्ध है।

घोषणाएं

  • इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2017-09-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-09-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2017-09-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-09-01 और 2017-09-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और Google Play प्रोटेक्ट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play प्रोटेक्ट के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play प्रोटेक्ट Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।

2017-09-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-09-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करती हैं। इसमें समस्या का विवरण और सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन एओएसपी संस्करण (जहां लागू हो) के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

रूपरेखा

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अतिरिक्त अनुमतियों तक पहुंच प्राप्त करने के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं को बायपास करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-0752 ए-62196835 [ 2 ] ईओपी उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

पुस्तकालय

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-0753 ए-62218744 आरसीई उच्च 7.1.1, 7.1.2, 8.0
सीवीई-2017-6983 ए-63852675 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0755 ए-32178311 ईओपी उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

मीडिया फ्रेमवर्क

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-0756 ए-34621073 आरसीई गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0757 ए-36006815 आरसीई गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0758 ए-36492741 आरसीई गंभीर 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0759 ए-36715268 आरसीई गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0760 ए-37237396 आरसीई गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0761 ए-38448381 आरसीई गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0762 ए-62214264 आरसीई गंभीर 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0763 ए-62534693 आरसीई गंभीर 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0764 ए-62872015 आरसीई गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0765 ए-62872863 आरसीई गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0766 ए-37776688 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0767 ए-37536407 [ 2 ] ईओपी उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0768 ए-62019992 ईओपी उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0769 ए-37662122 ईओपी उच्च 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0770 ए-38234812 ईओपी उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0771 ए-37624243 करने योग्य उच्च 7.0, 7.1.1, 7.1.2
सीवीई-2017-0772 ए-38115076 करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0773 ए-37615911 करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0774 ए-62673844 [ 2 ] करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0775 ए-62673179 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0776 ए-38496660 पहचान मध्यम 7.0, 7.1.1, 7.1.2, 8.0
करने योग्य उच्च 6.0.1
सीवीई-2017-0777 ए-38342499 पहचान मध्यम 7.0, 7.1.1, 7.1.2
करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1
सीवीई-2017-0778 ए-62133227 पहचान मध्यम 7.0, 7.1.1, 7.1.2
करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1
सीवीई-2017-0779 ए-38340117 [ 2 ] पहचान मध्यम 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

क्रम

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके किसी एप्लिकेशन को हैंग करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-0780 ए-37742976 करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

प्रणाली

इस अनुभाग में सबसे गंभीर भेद्यता एक निकटतम हमलावर को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-0781 ए-63146105 [ 2 ] आरसीई गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0782 ए-63146237 [ 2 ] [ 3 ] आरसीई गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0783 ए-63145701 पहचान उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0784 ए-37287958 ईओपी मध्यम 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0785 ए-63146698 पहचान मध्यम 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

2017-09-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-09-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करते हैं और इसमें सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

ब्रॉडकॉम घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके निकटतम हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-11120 ए-62575409 *
बी-V2017061204
आरसीई गंभीर वाई-फ़ाई ड्राइवर
सीवीई-2017-11121 ए-62576413 *
बी-V2017061205
आरसीई गंभीर वाई-फ़ाई ड्राइवर
सीवीई-2017-7065 ए-62575138 *
बी-V2017061202
आरसीई गंभीर वाई-फ़ाई ड्राइवर
सीवीई-2017-0786 ए-37351060 *
बी-V2017060101
ईओपी उच्च वाई-फ़ाई ड्राइवर
सीवीई-2017-0787 ए-37722970 *
बी-V2017053104
ईओपी मध्यम वाई-फ़ाई ड्राइवर
सीवीई-2017-0788 ए-37722328 *
बी-V2017053103
ईओपी मध्यम वाई-फ़ाई ड्राइवर
सीवीई-2017-0789 ए-37685267 *
बी-V2017053102
ईओपी मध्यम वाई-फ़ाई ड्राइवर
सीवीई-2017-0790 ए-37357704 *
बी-V2017053101
ईओपी मध्यम वाई-फ़ाई ड्राइवर
सीवीई-2017-0791 ए-37306719 *
बी-V2017052302
ईओपी मध्यम वाई-फ़ाई ड्राइवर
सीवीई-2017-0792 ए-37305578 *
बी-V2017052301
पहचान मध्यम वाई-फ़ाई ड्राइवर

Imgtk घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-0793 ए-35764946 * पहचान उच्च मेमोरी सबसिस्टम

कर्नेल घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-8890 ए-38413975
अपस्ट्रीम कर्नेल
आरसीई गंभीर नेटवर्किंग सबसिस्टम
सीवीई-2017-9076 ए-62299478
अपस्ट्रीम कर्नेल
ईओपी उच्च नेटवर्किंग सबसिस्टम
सीवीई-2017-9150 ए-62199770
अपस्ट्रीम कर्नेल
पहचान उच्च लिनक्स कर्नेल
सीवीई-2017-7487 ए-62070688
अपस्ट्रीम कर्नेल
ईओपी उच्च आईपीएक्स प्रोटोकॉल ड्राइवर
सीवीई-2017-6214 ए-37901268
अपस्ट्रीम कर्नेल
करने योग्य उच्च नेटवर्किंग सबसिस्टम
सीवीई-2017-6346 ए-37897645
अपस्ट्रीम कर्नेल
ईओपी उच्च लिनक्स कर्नेल
सीवीई-2017-5897 ए-37871211
अपस्ट्रीम कर्नेल
पहचान उच्च नेटवर्किंग सबसिस्टम
सीवीई-2017-7495 ए-62198330
अपस्ट्रीम कर्नेल
पहचान उच्च फाइल सिस्टम
सीवीई-2017-7616 ए-37751399
अपस्ट्रीम कर्नेल
पहचान मध्यम लिनक्स कर्नेल
सीवीई-2017-12146 ए-35676417
अपस्ट्रीम कर्नेल
ईओपी मध्यम लिनक्स कर्नेल
सीवीई-2017-0794 ए-35644812 * ईओपी मध्यम एससीएसआई चालक

मीडियाटेक घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-0795 ए-36198473 *
एम-एएलपीएस03361480
ईओपी उच्च सहायक डिटेक्टर ड्राइवर
सीवीई-2017-0796 ए-62458865 *
एम-एएलपीएस03353884
एम-एएलपीएस03353886
एम-एएलपीएस03353887
ईओपी उच्च AUXADC ड्राइवर
सीवीई-2017-0797 ए-62459766 *
एम-एएलपीएस03353854
ईओपी उच्च सहायक डिटेक्टर ड्राइवर
सीवीई-2017-0798 ए-36100671 *
एम-एएलपीएस03365532
ईओपी उच्च गुठली
सीवीई-2017-0799 ए-36731602 *
एम-एएलपीएस03342072
ईओपी उच्च लास्टबस
सीवीई-2017-0800 ए-37683975 *
एम-एएलपीएस03302988
ईओपी उच्च टीईईआई
सीवीई-2017-0801 ए-38447970 *
एम-एएलपीएस03337980
ईओपी उच्च LibMtkOmxVdec
सीवीई-2017-0802 ए-36232120 *
एम-एएलपीएस03384818
ईओपी मध्यम गुठली
सीवीई-2017-0803 ए-36136137 *
एम-एएलपीएस03361477
ईओपी मध्यम सहायक डिटेक्टर ड्राइवर
सीवीई-2017-0804 ए-36274676 *
एम-एएलपीएस03361487
ईओपी मध्यम एमएमसी ड्राइवर

क्वालकॉम घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-11041 ए-36130225 *
क्यूसी-सीआर#2053101
आरसीई गंभीर LibOmxVenc
सीवीई-2017-10996 ए-38198574
क्यूसी-सीआर#901529
पहचान उच्च लिनक्स कर्नेल
सीवीई-2017-9725 ए-38195738
क्यूसी-सीआर#896659
ईओपी उच्च मेमोरी सबसिस्टम
सीवीई-2017-9724 ए-38196929
क्यूसी-सीआर#863303
ईओपी उच्च लिनक्स कर्नेल
सीवीई-2017-8278 ए-62379474
क्यूसी-सीआर#2013236
ईओपी उच्च ऑडियो ड्राइवर
सीवीई-2017-10999 ए-36490777 *
क्यूसी-सीआर#2010713
ईओपी मध्यम आईपीए ड्राइवर
सीवीई-2017-11001 ए-36815555 *
क्यूसी-सीआर#2051433
पहचान मध्यम वाई-फ़ाई ड्राइवर
सीवीई-2017-11002 ए-37712167 *
क्यूसी-सीआर#2058452 क्यूसी-सीआर#2054690 क्यूसी-सीआर#2058455
पहचान मध्यम वाई-फ़ाई ड्राइवर
सीवीई-2017-8250 ए-62379051
क्यूसी-सीआर#2003924
ईओपी मध्यम जीपीयू ड्राइवर
सीवीई-2017-9677 ए-62379475
क्यूसी-सीआर#2022953
ईओपी मध्यम ऑडियो ड्राइवर
सीवीई-2017-10998 ए-38195131
क्यूसी-सीआर#108461
ईओपी मध्यम ऑडियो ड्राइवर
सीवीई-2017-9676 ए-62378596
क्यूसी-सीआर#2016517
पहचान मध्यम फाइल सिस्टम
सीवीई-2017-8280 ए-62377236
क्यूसी-सीआर#2015858
ईओपी मध्यम WLAN ड्राइवर
सीवीई-2017-8251 ए-62379525
क्यूसी-सीआर#2006015
ईओपी मध्यम कैमरा ड्राइवर
सीवीई-2017-10997 ए-33039685 *
क्यूसी-सीआर#1103077
ईओपी मध्यम पीसीआई ड्राइवर
सीवीई-2017-11000 ए-36136563 *
क्यूसी-सीआर#2031677
ईओपी मध्यम कैमरा ड्राइवर
सीवीई-2017-8247 ए-62378684
क्यूसी-सीआर#2023513
ईओपी मध्यम कैमरा ड्राइवर
सीवीई-2017-9720 ए-36264696 *
क्यूसी-सीआर#2041066
ईओपी मध्यम कैमरा ड्राइवर
सीवीई-2017-8277 ए-62378788
क्यूसी-सीआर#2009047
ईओपी मध्यम वीडियो ड्राइवर
सीवीई-2017-8281 ए-62378232
क्यूसी-सीआर#2015892
पहचान मध्यम ऑटोमोटिव मल्टीमीडिया
सीवीई-2017-11040 ए-37567102 *
क्यूसी-सीआर#2038166
पहचान मध्यम वीडियो ड्राइवर

Google डिवाइस अपडेट

इस तालिका में नवीनतम ओवर-द-एयर अपडेट (ओटीए) में सुरक्षा पैच स्तर और Google उपकरणों के लिए फर्मवेयर छवियां शामिल हैं। Google डिवाइस OTA में अतिरिक्त अपडेट भी शामिल हो सकते हैं। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर उपलब्ध हैं।

गूगल डिवाइस सुरक्षा पैच स्तर
पिक्सेल/पिक्सेल एक्सएल 2017-09-05
नेक्सस 5X 2017-09-05
नेक्सस 6 2017-09-05
नेक्सस 6पी 2017-09-05
नेक्सस 9 2017-09-05
नेक्सस प्लेयर 2017-09-05
पिक्सेल सी 2017-09-05

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

सीवीई शोधकर्ताओं
सीवीई-2017-11000 बाओज़ेंग डिंग ( @sploving ), चेंगमिंग यांग, और अलीबाबा मोबाइल सिक्योरिटी ग्रुप के यांग सॉन्ग
सीवीई-2017-0781, सीवीई-2017-0782, सीवीई-2017-0783, सीवीई-2017-0785 आर्मिस, इंक. के बेन सेरी और ग्रेगरी विश्नेपोलस्की ( https://armis.com )
सीवीई-2017-0800, सीवीई-2017-0798 अलीबाबा मोबाइल सिक्योरिटी ग्रुप के चेंगमिंग यांग, बाओज़ेंग डिंग और यांग सॉन्ग
सीवीई-2017-0765 ची झांग , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग
सीवीई-2017-0758 चेंग्दू सिक्योरिटी रिस्पांस सेंटर, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के चोंग वांग और 金哲 (ज़े जिन)।
सीवीई-2017-0752 कांग झेंग ( @shellcong ), वेनजुन हू, जिओ झांग, और पालो अल्टो नेटवर्क के ज़ी जू
सीवीई-2017-0801 दचेंग शाओ , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग
सीवीई-2017-0755 अलीबाबा मोबाइल सुरक्षा टीम के दावेई पेंग ( weibo: Vinc3nt4H )
सीवीई-2017-0775, सीवीई-2017-0774, सीवीई-2017-0771 अल्फ़ा टीम के एल्फ़ेट और गोंग गुआंग, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड।
सीवीई-2017-0784 एन हे ( @heeeeen4x ) और MS509Team के बो लियू
सीवीई-2017-10997 गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ
सीवीई-2017-0786, सीवीई-2017-0792, सीवीई-2017-0791, सीवीई-2017-0790, सीवीई-2017-0789, सीवीई-2017-0788, सीवीई-2017-0787 अल्फा टीम के हाओ चेन और गुआंग गोंग, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड।
सीवीई-2017-0802 शेलफिश ग्रिल टीम के जेक कोरिना ( @JakeCorina )।
सीवीई-2017-0780 ट्रेंड माइक्रो के जेसन गु और सेवन शेन
सीवीई-2017-0769 मिंगजियन झोउ ( @Mingjian_Zhou ), दचेंग शाओ , और C0RE टीम के ज़ुक्सियन जियांग
सीवीई-2017-0794, सीवीई-2017-9720, सीवीई-2017-11001, सीवीई-2017-10999, सीवीई-2017-0766 पेंगफेई डिंग (丁鹏飞), चेनफू बाओ (包沉浮), Baidu एक्स-लैब के लेनक्स वेई (韦韬) (百度安全实验室)
सीवीई-2017-0772 ट्रेंड माइक्रो के सेवन शेन
सीवीई-2017-0757 वसीली वासिलिव
सीवीई-2017-0768, सीवीई-2017-0779 वेन्के डू , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग
सीवीई-2017-0759 अलीबाबा इंक के वीचाओ सन
सीवीई-2017-0796 ज़ियांगकियान झांग, चेंगमिंग यांग, बाओज़ेंग डिंग और अलीबाबा मोबाइल सिक्योरिटी ग्रुप के यांग सॉन्ग
सीवीई-2017-0753 यांगकांग ( @dnpushme ) और Qihoo360 Qex टीम के हुजियानफेई
सीवीई-2017-12146 आइसस्वॉर्ड लैब, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के योंगगैंग गुओ ( @guoygang )
सीवीई-2017-0767 टेनसेंट की जुआनवू लैब के योंगके वांग और युएबिन सन
सीवीई-2017-0804, सीवीई-2017-0803, सीवीई-2017-0799, सीवीई-2017-0795 वुल्पेकर टीम के यू पैन और यांग दाई , क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड
सीवीई-2017-0760 चेंगदू सिक्योरिटी रिस्पांस सेंटर, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान और 金哲 (ज़े जिन)।
सीवीई-2017-0764, सीवीई-2017-0761, सीवीई-2017-0776, सीवीई-2017-0777, सीवीई-2017-0778 चेंगदू सिक्योरिटी रिस्पांस सेंटर, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।

  • 2017-09-01 या उसके बाद के सुरक्षा पैच स्तर 2017-09-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
  • 2017-09-05 या बाद के सुरक्षा पैच स्तर 2017-09-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2017-09-01]
  • [ro.build.version.security_patch]:[2017-09-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • जो डिवाइस 2017-09-01 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
  • जो डिवाइस 2017-09-05 या नए सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।

साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।

3. प्रकार कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियाँ सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षेपाक्षर परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उन्नयन
पहचान जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन/ए वर्गीकरण उपलब्ध नहीं है

4. संदर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
QC- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * का क्या मतलब है?

जो मुद्दे सार्वजनिक रूप से उपलब्ध नहीं हैं, उनके संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * है। उस समस्या का अद्यतन आम तौर पर Google डेवलपर साइट पर उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।

संस्करणों

संस्करण तारीख टिप्पणियाँ
1.0 5 सितंबर 2017 बुलेटिन प्रकाशित.
1.1 12 सितंबर 2017 उद्योग-समन्वित प्रकटीकरण के भाग के रूप में CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 और CVE-2017-0785 के लिए विवरण जोड़े गए।
1.2 13 सितंबर 2017 एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
1.3 25 सितंबर 2017 उद्योग-समन्वित प्रकटीकरण के हिस्से के रूप में सीवीई-2017-11120 और सीवीई-2017-11121 के लिए विवरण जोड़ा गया।
1.4 28 सितंबर 2017 CVE-2017-11001 के लिए विक्रेता संदर्भ अद्यतन करें।