Android सुरक्षा बुलेटिन - जुलाई 2019

प्रकाशित 1 जुलाई, 2019 | 2 जुलाई 2019 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण है। 2019-07-05 के सुरक्षा पैच स्तर या बाद में इन सभी मुद्दों का समाधान। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण देखें और अपडेट करें

Android भागीदारों को प्रकाशन से कम से कम एक महीने पहले सभी मुद्दों के बारे में सूचित किया जाता है। इन मुद्दों के लिए सोर्स कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी किया गया है और इस बुलेटिन से लिंक किया गया है। इस बुलेटिन में AOSP के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में से सबसे गंभीर मीडिया फ्रेमवर्क में एक महत्वपूर्ण सुरक्षा भेद्यता है जो किसी विशेष प्रक्रिया वाली फ़ाइल का उपयोग करके किसी विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकता है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि मंच और सेवा शमन विकास के उद्देश्यों के लिए बंद कर दिए गए हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए एंड्रॉइड और Google Play प्रोटेक्ट मिटिगेशन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

Android और Google सेवा शमन

यह एंड्रॉइड सिक्योरिटी प्लेटफॉर्म और सर्विस प्रोटेक्शन जैसे Google Play Protect द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया जाता है। हम सभी उपयोगकर्ताओं को एंड्रॉइड के नवीनतम संस्करण में जहां संभव हो अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम Google Play प्रोटेक्ट के माध्यम से दुरुपयोग के लिए सक्रिय रूप से निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देती है। Google Play सुरक्षा Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं।

2019-07-01 सुरक्षा पैच स्तर भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2019-07-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के तहत वर्गीकृत किया जाता है। समस्या का विवरण और CVE, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन किए गए AOSP संस्करण (जहां लागू हो) के साथ एक तालिका है। उपलब्ध होने पर, हम सार्वजनिक परिवर्तन को बग आईडी से लिंक करते हैं, जैसे कि AOSP परिवर्तन सूची। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।

ढांचा

इस अनुभाग में भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अतिरिक्त अनुमतियों तक पहुँच प्राप्त करने के लिए उपयोगकर्ता सहभागिता आवश्यकताओं को बायपास करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2019-2104 ए-131356202 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] ईद उच्च 8.0, 8.1, 9

पुस्तकालय

इस खंड में भेद्यता एक अनपेक्षित प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके दूरस्थ हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2019-2105 A-116114182 आरसीई उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

मीडिया की रूपरेखा

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक रिमोट हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2019-2106 A-130023983 आरसीई नाजुक 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2107 A-130024844 आरसीई नाजुक 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2109 A-130651570 * आरसीई नाजुक 7.0, 7.1.1, 7.1.2, 8.0, 8.1

प्रणाली

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक रिमोट हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2019-2111 A-122856181 [ 2 ] आरसीई नाजुक
CVE-2019-2112 A- 117997080 ईओपी उच्च 8.0, 8.1, 9
CVE-2019-2113 A-122597079 * ईओपी उच्च
CVE-2019-2116 A- 117105007 ईद उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2117 A-124107808 ईद उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2118 A-130161842 ईद उच्च 8.0, 8.1, 9
CVE-2019-2119 A-131622568 ईद उच्च 8.0, 8.1, 9

2019-07-05 सुरक्षा पैच स्तर भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2019-07-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के तहत वर्गीकृत किया जाता है और इसमें सीवीई, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन किए गए एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम सार्वजनिक परिवर्तन को बग आईडी से जोड़ते हैं, जैसे कि AOSP परिवर्तन सूची। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।

क्वालकॉम घटक

ये कमजोरियाँ क्वालकॉम घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम सुरक्षा बुलेटिन या सुरक्षा चेतावनी में और विस्तार से वर्णित हैं। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2019-2308 A-129852114
QC-CR # 2338800
एन / ए नाजुक DSP_Services
CVE-2019-2330 A-129850940
QC-CR # 2379952
एन / ए नाजुक गुठली
CVE-2019-2276 A-130890737
QC-CR # 2335974
एन / ए उच्च WLAN HOST
CVE-2019-2305 A-78530292
QC-CR # 2253984
एन / ए उच्च WLAN चालक
CVE-2019-2278 A-130567114
QC-CR # 2345293
एन / ए उच्च HLOS
CVE-2019-2307 A-129850941
QC-CR # 2337425
एन / ए उच्च WLAN HOST
CVE-2019-2326 A-129850483
QC-CR # 2372306 [ 2 ]
एन / ए उच्च ऑडियो
CVE-2019-2328 A-129851238
QC-CR # 2375115 [ 2 ]
एन / ए उच्च ऑडियो

क्वालकॉम बंद-स्रोत घटक

ये भेद्यताएं क्वालकॉम के बंद-स्रोत घटकों को प्रभावित करती हैं और इन्हें आगे के विवरण में उपयुक्त क्वालकॉम सुरक्षा बुलेटिन या सुरक्षा चेतावनी में वर्णित किया गया है। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2019-2254 A-122473972 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2019-2322 A-129766496 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2019-2327 A-129766125 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2019-2235 A-122473271 * एन / ए उच्च बंद-स्रोत घटक
CVE-2019-2236 A-122474808 * एन / ए उच्च बंद-स्रोत घटक
CVE-2019-2237 A-122472479 * एन / ए उच्च बंद-स्रोत घटक
CVE-2019-2238 A-122473168 * एन / ए उच्च बंद-स्रोत घटक
CVE-2019-2239 A-122473304 * एन / ए उच्च बंद-स्रोत घटक
CVE-2019-2240 A-122473496 * एन / ए उच्च बंद-स्रोत घटक
CVE-2019-2241 A-122473989 * एन / ए उच्च बंद-स्रोत घटक
CVE-2019-2253 A-129766432 * एन / ए उच्च बंद-स्रोत घटक
CVE-2019-2334 A-129766099 * एन / ए उच्च बंद-स्रोत घटक
CVE-2019-2346 A-129766299 * एन / ए उच्च बंद-स्रोत घटक

आम सवाल और जवाब

यह खंड उन सामान्य प्रश्नों का उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन मुद्दों को हल करने के लिए अपडेट किया गया है?

डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण देखें और अपडेट करें

  • 2019-07-01 के सुरक्षा पैच स्तर या बाद में 2019-07-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2019-07-05 के सुरक्षा पैच स्तर या बाद में 2019-07-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

डिवाइस निर्माता जिनमें ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को निम्न पर सेट करना चाहिए:

  • [ro.build.version.security_patch]: [2019-07-01]
  • [ro.build.version.security_patch]: [2019-07-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर होते हैं ताकि एंड्रॉइड पार्टनर में कमजोरियों का एक सबसेट ठीक करने का लचीलापन हो जो सभी एंड्रॉइड डिवाइसों पर समान रूप से जल्दी से समान हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • 2019-07-01 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दे शामिल होने चाहिए, साथ ही पिछले सुरक्षा बुलेटिनों में बताए गए सभी मुद्दों के लिए सुधार शामिल हैं।
  • जो उपकरण 2019-07-05 या नए के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करना चाहिए।

साझेदारों को उन सभी मुद्दों के लिए सुधार करने के लिए प्रोत्साहित किया जाता है, जिन्हें वे एक अद्यतन में संबोधित कर रहे हैं।

3. टाइप कॉलम में प्रविष्टियों का क्या मतलब है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियां सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षिप्त परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उत्थान
ईद जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन / ए वर्गीकरण उपलब्ध नहीं है

4. संदर्भ कॉलम में प्रविष्टियां क्या हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के तहत प्रविष्टियां उस संगठन की पहचान करने के लिए एक उपसर्ग हो सकती हैं जिसमें संदर्भ मान होता है।

उपसर्ग संदर्भ
ए- Android बग आईडी
QC- क्वालकॉम संदर्भ संख्या
म- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी ब्रॉडकॉम संदर्भ संख्या

5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे एक * क्या है?

सार्वजनिक रूप से उपलब्ध नहीं होने वाले मुद्दों में संदर्भ स्तंभ में Android बग ID के आगे एक * है। उस समस्या के लिए अद्यतन आमतौर पर Google डेवलपर साइट से उपलब्ध पिक्सेल उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

6. इस बुलेटिन और डिवाइस / पार्टनर सुरक्षा बुलेटिन, जैसे कि पिक्सेल बुलेटिन के बीच सुरक्षा कमजोरियाँ क्यों विभाजित हैं?

इस सुरक्षा बुलेटिन में प्रलेखित सुरक्षा कमजोरियों के लिए Android उपकरणों पर नवीनतम सुरक्षा पैच स्तर घोषित करना आवश्यक है। अतिरिक्त सुरक्षा सुरक्षाछिद्र जो डिवाइस / पार्टनर सुरक्षा बुलेटिन में दर्ज़ किए गए हैं उन्हें सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक नहीं है। Android डिवाइस और चिपसेट निर्माता अपने उत्पादों, जैसे Google , Huawei , LGE , Motorola , Nokia , या Samsung के लिए विशिष्ट सुरक्षा भेद्यता विवरण प्रकाशित कर सकते हैं।

संस्करणों

संस्करण तारीख टिप्पणियाँ
1.0 1 जुलाई 2019 बुलेटिन प्रकाशित
१.१ 2 जुलाई 2019 बुलेटिन AOSP लिंक शामिल करने के लिए संशोधित