एंड्रॉइड सुरक्षा बुलेटिन-फरवरी 2018

5 फरवरी 2018 को प्रकाशित | 2 अप्रैल 2018 को अपडेट किया गया

एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। 2018-02-05 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपने Android संस्करण की जांच करें और अपडेट करें देखें।

एंड्रॉइड भागीदारों को प्रकाशन से कम से कम एक महीने पहले सभी मुद्दों के बारे में सूचित किया जाता है। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं और इस बुलेटिन से लिंक किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।

इन मुद्दों में सबसे गंभीर मीडिया ढांचे में एक महत्वपूर्ण सुरक्षा भेद्यता है जो एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए एंड्रॉइड और Google Play प्रोटेक्ट शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

नोट: Google उपकरणों के लिए नवीनतम ओवर-द-एयर अपडेट (OTA) और फर्मवेयर छवियों की जानकारी फरवरी 2018 पिक्सेल / नेक्सस सुरक्षा बुलेटिन में उपलब्ध है।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और Google Play प्रोटेक्ट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play प्रोटेक्ट के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play प्रोटेक्ट Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।

2018-02-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2018-02-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करती हैं। इसमें समस्या का विवरण और सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन एओएसपी संस्करण (जहां लागू हो) के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

मीडिया ढाँचा

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-13228 ए-69478425 आरसीई गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13231 ए-67962232 ईओपी उच्च 8.0, 8.1
सीवीई-2017-13232 ए-68953950 पहचान उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13230 ए-65483665 करने योग्य उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1
आरसीई गंभीर 5.1.1, 6.0, 6.0.1
सीवीई-2017-13233 ए-62851602 करने योग्य उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13234 ए-68159767 करने योग्य उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1

प्रणाली

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सामान्य रूप से विशेषाधिकार प्राप्त प्रक्रियाओं तक सीमित आदेशों को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-13236 ए-68217699 [ 2 ] ईओपी मध्यम 8.0, 8.1

2018-02-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2018-02-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करते हैं और इसमें सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

एचटीसी घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डेटा तक अनधिकृत पहुंच प्राप्त करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-13238 ए-64610940 * पहचान उच्च बूटलोडर
सीवीई-2017-13247 ए-71486645 * ईओपी मध्यम बूटलोडर

कर्नेल घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-15265 ए-67900971
अपस्ट्रीम कर्नेल
ईओपी उच्च ए.एल.एस.ए
सीवीई-2015-9016 ए-63083046
अपस्ट्रीम कर्नेल
ईओपी उच्च मल्टी-क्यू ब्लॉक IO
सीवीई-2017-13273 ए-65853158 * ईओपी उच्च गुठली

एनवीडिया घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-6279 ए-65023166 *
एन-सीवीई-2017-6279
ईओपी उच्च मीडिया ढाँचा
सीवीई-2017-6258 ए-38027496 *
एन-सीवीई-2017-6258
ईओपी उच्च मीडिया ढाँचा

क्वालकॉम घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-15860 ए-68992416
क्यूसी-सीआर#2082544 [ 2 ]
आरसीई गंभीर डब्लूएलएएन
सीवीई-2017-11041 ए-35269676 *
क्यूसी-सीआर#2053101
ईओपी उच्च मीडिया ढाँचा
सीवीई-2017-17767 ए-64750179 *
क्यूसी-सीआर#2115779
ईओपी उच्च मीडिया ढाँचा
सीवीई-2017-17765 ए-68992445
क्यूसी-सीआर#2115112
ईओपी उच्च डब्लूएलएएन
सीवीई-2017-15862 ए-68992439
क्यूसी-सीआर#2114426
ईओपी उच्च डब्लूएलएएन
सीवीई-2017-14884 ए-68992429
क्यूसी-सीआर#2113052
ईओपी उच्च डब्लूएलएएन
सीवीई-2017-15829 ए-68992397
क्यूसी-सीआर#2097917
ईओपी उच्च ग्राफिक्स_लिनक्स
सीवीई-2017-15820 ए-68992396
क्यूसी-सीआर#2093377
ईओपी उच्च ग्राफिक्स_लिनक्स
सीवीई-2017-17764 ए-68992443
क्यूसी-सीआर#2114789
ईओपी उच्च डब्लूएलएएन
सीवीई-2017-15861 ए-68992434
क्यूसी-सीआर#2114187
ईओपी उच्च डब्लूएलएएन

क्वालकॉम बंद-स्रोत घटक

ये कमजोरियाँ क्वालकॉम घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम एएमएसएस सुरक्षा बुलेटिन या सुरक्षा अलर्ट में आगे विस्तार से वर्णित हैं। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-14910 ए-62212114 * एन/ए उच्च बंद-स्रोत घटक

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपने Android संस्करण की जांच करें और अपडेट करें देखें।

  • 2018-02-01 या बाद के सुरक्षा पैच स्तर 2018-02-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
  • 2018-02-05 या बाद के सुरक्षा पैच स्तर 2018-02-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2018-02-01]
  • [ro.build.version.security_patch]:[2018-02-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • जो डिवाइस 2018-02-01 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
  • जो डिवाइस 2018-02-05 या नए सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।

साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।

3. प्रकार कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियाँ सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षेपाक्षर परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उन्नयन
पहचान जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन/ए वर्गीकरण उपलब्ध नहीं है

4. संदर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
QC- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * का क्या मतलब है?

जो मुद्दे सार्वजनिक रूप से उपलब्ध नहीं हैं, उनके संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * है। उस समस्या का अद्यतन आम तौर पर Google डेवलपर साइट पर उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।

6. सुरक्षा कमजोरियाँ इस बुलेटिन और डिवाइस/साझेदार सुरक्षा बुलेटिन, जैसे कि पिक्सेल/नेक्सस बुलेटिन, के बीच विभाजित क्यों हैं?

एंड्रॉइड डिवाइस पर नवीनतम सुरक्षा पैच स्तर घोषित करने के लिए इस सुरक्षा बुलेटिन में दर्ज की गई सुरक्षा कमजोरियां आवश्यक हैं। डिवाइस/साझेदार सुरक्षा बुलेटिन में दर्ज अतिरिक्त सुरक्षा कमजोरियाँ सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक नहीं हैं। एंड्रॉइड डिवाइस और चिपसेट निर्माताओं को सैमसंग , एलजीई , या पिक्सेल / नेक्सस सुरक्षा बुलेटिन जैसी अपनी सुरक्षा वेबसाइटों के माध्यम से अपने डिवाइस पर अन्य सुधारों की उपस्थिति का दस्तावेजीकरण करने के लिए प्रोत्साहित किया जाता है।

संस्करणों

संस्करण तारीख टिप्पणियाँ
1.0 5 फ़रवरी 2018 बुलेटिन प्रकाशित.
1.1 7 फ़रवरी 2018 एओएसपी लिंक को शामिल करने के लिए बुलेटिन में संशोधन।
1.2 14 फ़रवरी 2018 CVE-2017-13273, CVE-2017-15860, CVE-2017-15861 और CVE-2017-15862 के लिए सही CVE नंबर।
1.3 2 अप्रैल 2018 CVE-2017-15817 को फरवरी एंड्रॉइड बुलेटिन से फरवरी पिक्सेल बुलेटिन में ले जाया गया।