प्रकाशित 4 सितंबर, 2018 | अपडेट किया गया 5 सितंबर 2018
Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण है। 2018-09-05 के सुरक्षा पैच स्तर या बाद में इन सभी मुद्दों का समाधान। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण देखें और अपडेट करें ।
Android भागीदारों को प्रकाशन से कम से कम एक महीने पहले सभी मुद्दों के बारे में सूचित किया जाता है। इन मुद्दों के लिए सोर्स कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी किया गया है और इस बुलेटिन से लिंक किया गया है। इस बुलेटिन में AOSP के बाहर पैच के लिंक भी शामिल हैं।
इन मुद्दों में से सबसे गंभीर मीडिया फ्रेमवर्क में एक महत्वपूर्ण सुरक्षा भेद्यता है जो किसी विशेष प्रक्रिया वाली फ़ाइल का उपयोग करके किसी विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकता है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि मंच और सेवा शमन विकास के उद्देश्यों के लिए बंद कर दिए गए हैं या यदि सफलतापूर्वक बायपास किए गए हैं।
हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं, के विवरण के लिए Android और Google Play प्रोटेक्ट मिटिगेशन सेक्शन देखें।
नोट: Google उपकरणों के लिए नवीनतम ओवर-द-एयर अपडेट (ओटीए) और फर्मवेयर छवियों की जानकारी सितंबर 2018 पिक्सेल / नेक्सस सुरक्षा बुलेटिन में उपलब्ध है ।
Android और Google सेवा शमन
यह एंड्रॉइड सिक्योरिटी प्लेटफॉर्म और सर्विस प्रोटेक्शन जैसे Google Play Protect द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया जाता है। हम सभी उपयोगकर्ताओं को एंड्रॉइड के नवीनतम संस्करण में जहां संभव हो अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम Google Play प्रोटेक्ट के माध्यम से दुरुपयोग के लिए सक्रिय रूप से निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देती है। Google Play सुरक्षा Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं।
2018-09-01 सुरक्षा पैच स्तर भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2018-09-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के तहत वर्गीकृत किया जाता है। सीवीई, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन किए गए AOSP संस्करण (जहां लागू हो) के साथ मुद्दे और एक तालिका का विवरण है। उपलब्ध होने पर, हम सार्वजनिक परिवर्तन को बग आईडी से जोड़ते हैं, जैसे कि AOSP परिवर्तन सूची। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।
Android रनटाइम
इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके दूरस्थ हमलावर को सक्षम कर सकती है जो कि लाइब्रेरी का उपयोग करने वाले एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने के लिए।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अपडेटेड AOSP संस्करण |
|---|---|---|---|---|
| CVE-2018-9466 | A-62151041 | आरसीई | उच्च | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9467 | A- 110955991 | ईओपी | उच्च | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
ढांचा
इस खंड में सबसे गंभीर भेद्यता एक अनपेक्षित प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अपडेटेड AOSP संस्करण |
|---|---|---|---|---|
| CVE-2018-9469 | A-109824443 | ईओपी | उच्च | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9470 | A-78290481 | ईओपी | उच्च | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9471 | A-77599679 | ईओपी | उच्च | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
पुस्तकालय
इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके दूरस्थ हमलावर को सक्षम कर सकती है जो कि लाइब्रेरी का उपयोग करने वाले एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने के लिए।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अपडेटेड AOSP संस्करण |
|---|---|---|---|---|
| CVE-2018-9472 | A- 79662501 | आरसीई | उच्च | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
मीडिया फ्रेमवर्क
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अतिरिक्त अनुमतियों तक पहुंच प्राप्त करने के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं को बायपास करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अपडेटेड AOSP संस्करण |
|---|---|---|---|---|
| CVE-2018-9474 | A-77600398 | ईओपी | उच्च | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9440 | A-77823362 [ 2 ] | करने योग्य | उदारवादी | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
प्रणाली
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय हमलावर को अतिरिक्त अनुमतियों तक पहुंच प्राप्त करने के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं को बायपास करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अपडेटेड AOSP संस्करण |
|---|---|---|---|---|
| CVE-2018-9475 | A-79266386 | ईओपी | नाजुक | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9478 | A-79217522 | ईओपी | नाजुक | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9479 | A-79217770 | ईओपी | नाजुक | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9456 | A-78136869 | करने योग्य | उच्च | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2018-9477 | A-92497653 | ईओपी | उच्च | 8.0, 8.1 |
| CVE-2018-9480 | A-109757168 | ईद | उच्च | 8.0, 8.1, 9 |
| CVE-2018-9481 | A-109757435 | ईद | उच्च | 8.0, 8.1, 9 |
| CVE-2018-9482 | A-109757986 | ईद | उच्च | 8.0, 8.1, 9 |
| CVE-2018-9483 | A- 110216173 | ईद | उच्च | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9484 | A- 79488381 | ईद | उच्च | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9485 | A-80261585 | ईद | उच्च | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9486 | A- 80493272 | ईद | उच्च | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2018-9487 | A-69873852 | करने योग्य | उच्च | 8.0, 8.1, 9 |
| CVE-2018-9488 | A-110107376 | ईओपी | उदारवादी | 8.0, 8.1, 9 |
2018-09-05 सुरक्षा पैच स्तर भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2018-09-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के तहत वर्गीकृत किया जाता है और इसमें सीवीई, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन किए गए एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम सार्वजनिक परिवर्तन को बग आईडी से लिंक करते हैं, जैसे कि AOSP परिवर्तन सूची। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।
ढांचा
इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो अन्य एप्लिकेशन से एप्लिकेशन डेटा को अलग करती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अपडेटेड AOSP संस्करण |
|---|---|---|---|---|
| CVE-2018-9468 | A-111084083 | ईद | उच्च | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
कर्नेल घटक
इस खंड में सबसे गंभीर भेद्यता दूरस्थ हमलावर को केवल स्थानीय स्तर पर स्थापित अनुप्रयोगों के लिए अनुमतियों के साथ सामान्य रूप से सुलभ डेटा तक पहुंचने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अंग |
|---|---|---|---|---|
| CVE-2017-5754 | A-69856074 * अपस्ट्रीम कर्नेल | ईद | उच्च | कर्नेल मेमोरी |
क्वालकॉम घटक
ये कमजोरियाँ क्वालकॉम घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम एपीएसएस सुरक्षा बुलेटिन या सुरक्षा चेतावनी में और विस्तार से वर्णित हैं। Android भागीदार Createpoint के माध्यम से अपने उपकरणों के लिए अपने मुद्दों की प्रयोज्यता की जांच कर सकते हैं। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अंग |
|---|---|---|---|---|
| CVE-2018-11816 | A-63527106 QC-CR # 2119840 * | एन / ए | उच्च | वीडियो |
| CVE-2018-11261 | A-64340487 QC-CR # 2119840 * | एन / ए | उच्च | वीडियो |
| CVE-2018-11836 | A-111128620 QC-CR # 2214158 | एन / ए | उच्च | WLAN HOST |
| CVE-2018-11842 | A-111124974 QC-CR # 2216741 | एन / ए | उच्च | WLAN HOST |
| CVE-2018-11898 | A-111128799 QC-CR # 2233036 | एन / ए | उच्च | WLAN HOST |
| CVE-2017-15825 | A-68992460 QC-CR # 2096455 | एन / ए | उदारवादी | बीओओटी |
| CVE-2018-11270 | A- 109741697 QC-CR # 2205728 | एन / ए | उदारवादी | वायर्डकनेक्टिविटी |
क्वालकॉम बंद-स्रोत घटक
ये भेद्यताएँ क्वालकॉम घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम एएमएसएस सुरक्षा बुलेटिन या सुरक्षा चेतावनी में और विस्तार से वर्णित हैं। Android भागीदार Createpoint के माध्यम से अपने उपकरणों के लिए अपने मुद्दों की प्रयोज्यता की जांच कर सकते हैं। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अंग |
|---|---|---|---|---|
| CVE-2016-10394 | A-68326803 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2017-18314 | A-62213176 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2017-18311 | A-73539234 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2018-11950 | A-72950814 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2018-5866 | A-77484228 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2018-11824 | A-111090697 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2016-10408 | A-68326811 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2017-18313 | A-78240387 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2017-18312 | A-78239234 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2017-18124 | A-68326819 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-3588 | A-71501117 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-11951 | A-72950958 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-11952 | A-74236425 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-5871 | A-77484229 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-5914 | A-79419793 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-11288 | A-109677940 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-11285 | A-109677982 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-11290 | A-109677964 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-11292 | A-109678202 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-11287 | A-109678380 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-11846 | A-111091377 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-11855 | A-111090533 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-11857 | A-111093202 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-11858 | A-111090698 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-11866 | A-111093021 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2018-11865 | A-111093167 * | एन / ए | उच्च | बंद-स्रोत घटक |
आम सवाल और जवाब
यह खंड उन सामान्य प्रश्नों का उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन मुद्दों को हल करने के लिए अपडेट किया गया है?
डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण देखें और अपडेट करें ।
- 2018-09-01 के सुरक्षा पैच स्तर या बाद में 2018-09-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
- 2018-09-05 के सुरक्षा पैच स्तर या बाद में 2018-09-05 सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।
डिवाइस निर्माता जिनमें ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर पर सेट करना चाहिए:
- [ro.build.version.security_patch]: [2018-09-01]
- [ro.build.version.security_patch]: [2018-09-05]
2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?
इस बुलेटिन में दो सुरक्षा पैच स्तर होते हैं ताकि एंड्रॉइड पार्टनर में कमजोरियों का एक सबसेट ठीक करने का लचीलापन हो जो सभी एंड्रॉइड डिवाइसों पर समान रूप से जल्दी से समान हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।
- 2018-09-01 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दे शामिल होने चाहिए, साथ ही पिछले सुरक्षा बुलेटिनों में बताए गए सभी मुद्दों के लिए सुधार शामिल हैं।
- 2018-09-05 या नए के सुरक्षा पैच स्तर का उपयोग करने वाले डिवाइसों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।
भागीदारों को उन सभी समस्याओं के लिए सुधार को प्रोत्साहित करने के लिए प्रोत्साहित किया जाता है जिन्हें वे एक अद्यतन में संबोधित कर रहे हैं।
3. टाइप कॉलम में प्रविष्टियों का क्या मतलब है?
भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियां सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।
| संक्षिप्त | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड निष्पादन |
| ईओपी | विशेषाधिकार का उत्थान |
| ईद | जानकारी प्रकटीकरण |
| करने योग्य | सेवा की मनाई |
| एन / ए | वर्गीकरण उपलब्ध नहीं है |
4. संदर्भ कॉलम में प्रविष्टियां क्या हैं?
भेद्यता विवरण तालिका के संदर्भ कॉलम के तहत प्रविष्टियां उस संगठन की पहचान करने के लिए एक उपसर्ग हो सकती हैं जिसमें संदर्भ मान होता है।
| उपसर्ग | संदर्भ |
|---|---|
| ए- | Android बग आईडी |
| QC- | क्वालकॉम संदर्भ संख्या |
| म- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी | ब्रॉडकॉम संदर्भ संख्या |
5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे एक * क्या है?
सार्वजनिक रूप से उपलब्ध नहीं होने वाले मुद्दों में संदर्भ स्तंभ में Android बग ID के आगे एक * है। उस समस्या के लिए अद्यतन आमतौर पर Google डेवलपर साइट से उपलब्ध पिक्सेल / नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
6. इस बुलेटिन और डिवाइस / पार्टनर सुरक्षा बुलेटिन, जैसे कि पिक्सेल / नेक्सस बुलेटिन के बीच सुरक्षा कमजोरियाँ क्यों विभाजित हैं?
इस सुरक्षा बुलेटिन में प्रलेखित सुरक्षा कमजोरियों के लिए Android उपकरणों पर नवीनतम सुरक्षा पैच स्तर घोषित करना आवश्यक है। अतिरिक्त सुरक्षा सुरक्षाछिद्र जो डिवाइस / पार्टनर सुरक्षा बुलेटिन में दर्ज़ किए गए हैं उन्हें सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक नहीं है। एंड्रॉइड डिवाइस और चिपसेट निर्माताओं को अपने स्वयं के सुरक्षा वेबसाइटों, जैसे कि सैमसंग , एलजीई या पिक्सेल / नेक्सस सुरक्षा बुलेटिन के माध्यम से अपने उपकरणों पर अन्य सुधारों की उपस्थिति का दस्तावेजीकरण करने के लिए प्रोत्साहित किया जाता है।
संस्करणों
| संस्करण | तारीख | टिप्पणियाँ |
|---|---|---|
| 1.0 | 4 सितंबर 2018 | बुलेटिन प्रकाशित। |
| १.१ | 5 सितंबर 2018 | बुलेटिन AOSP लिंक शामिल करने के लिए संशोधित। |