पब्लिश करने की तारीख: 5 अप्रैल, 2021 | अपडेट करने की तारीख: 7 अप्रैल, 2021
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-04-2021 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
पब्लिकेशन से कम से कम एक महीने पहले, Android पार्टनर को सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए गए हैं. साथ ही, इन्हें इस सूचना से लिंक किया गया है. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. गंभीरता का आकलन, इस बात पर आधारित होता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने के उपाय बंद किए गए हैं या नहीं या उन्हें बाईपास कर दिया गया है.
Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए सुरक्षा को बेहतर बनाने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवाओं को सुरक्षित रखने के तरीकों के बारे में बताया गया है. जैसे, Google Play Protect. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा, किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.
01-04-2021 के सुरक्षा पैच लेवल की समस्या की जानकारी
नीचे दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी देते हैं जो 01-04-2021 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर समस्या की वजह से, नुकसान पहुंचाने वाला कोई उपयोगकर्ता आपातकालीन सेवाओं को कॉल करने के दौरान, जगह की जानकारी का डेटा बदल सकता है. इसके लिए, वह किसी दूसरी जगह की जानकारी का इस्तेमाल कर सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0400 | A-177561690 | EoP | ज़्यादा | 9, 10, 11 |
| CVE-2021-0426 | A-174485572 | EoP | ज़्यादा | 11 |
| CVE-2021-0427 | A-174488848 | EoP | ज़्यादा | 11 |
| CVE-2021-0432 | A-173552790 | EoP | ज़्यादा | 11 |
| CVE-2021-0438 | A-152064592 | EoP | ज़्यादा | 8.1, 9, 10 |
| CVE-2021-0439 | A-174243830 | EoP | ज़्यादा | 11 |
| CVE-2021-0442 | A-174768985 | EoP | ज़्यादा | 11 |
| CVE-2021-0443 | A-170474245 | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0444 | A-178825358 | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को बायपास करने में मदद मिल सकती है. इससे, वह ऐप्लिकेशन अन्य अनुमतियों का ऐक्सेस पा सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0437 | A-176168330 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0436 | A-176496160 [2] | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0471 | A-176444786 [2] | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0430 | A-178725766 | आरसीई | सबसे अहम | 10, 11 |
| CVE-2021-0429 | A-175074139 [2] | EoP | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0433 | A-171221090 [2] | EoP | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0446 | A-172252122 | EoP | ज़्यादा | 11 |
| CVE-2021-0431 | A-174149901 | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0435 | A-174150451 | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
Google Play के सिस्टम अपडेट
Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| कॉम्पोनेंट | CVE |
|---|---|
| Statsd | CVE-2021-0426, CVE-2021-0427, CVE-2021-0432 |
05-04-2021 को जारी किए गए सुरक्षा पैच के लेवल में मौजूद जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी देते हैं जो 05-04-2021 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को बायपास करने में मदद मिल सकती है. इससे, वह ऐप्लिकेशन अन्य अनुमतियों का ऐक्सेस पा सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0445 | A-172322502 | EoP | ज़्यादा | 9, 11 |
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, कोई स्थानीय हमलावर, खास तौर पर बनाई गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2020-15436 | A-174737742
अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | Kernel Block Device Subsystem |
| CVE-2020-25705 | A-174737972
अपस्ट्रीम कर्नेल |
आईडी | ज़्यादा | आईसीएमपी |
MediaTek के कॉम्पोनेंट
इस समस्या का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इस समस्या की गंभीरता का आकलन, सीधे MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट | |
|---|---|---|---|---|
| CVE-2021-0468 | A-180427272
M-ALPS05518125* |
ज़्यादा | LK |
Qualcomm के कॉम्पोनेंट
इस समस्या का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इस बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इस समस्या की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट | |
|---|---|---|---|---|
| CVE-2020-11234 | A-170139095
QC-CR#2439497 [2] |
ज़्यादा | कर्नेल |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट | |
|---|---|---|---|---|
| CVE-2020-11210 | A-170138788* | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11191 | A-170138864* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11236 | A-170138748* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11237 | A-170138790* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11242 | A-170138747* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11243 | A-170139096* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11245 | A-170138750* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11246 | A-159482433* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11247 | A-170138749* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11251 | A-170137904* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11252 | A-170138791* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11255 | A-170138865* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-04-2021 या उसके बाद के सिक्योरिटी पैच लेवल, 01-04-2021 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 05-04-2021 या उसके बाद के सिक्योरिटी पैच लेवल, 05-04-2021 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2021-04-01]
- [ro.build.version.security_patch]:[2021-04-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-04-2021 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-04-2021 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 05-04-2021 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए, सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से उपलब्ध होते हैं.
6. सुरक्षा से जुड़ी समस्याओं को इस सूचना और डिवाइस / पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सुरक्षा पैच का नया लेवल तय किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में बताई गई अतिरिक्त सुरक्षा से जुड़ी कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 5 अप्रैल, 2021 | बुलेटिन पब्लिश हो गया. |
| 1.1 | 7 अप्रैल, 2021 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया है. |
| 1.2 | 2 जून, 2021 | ऐप्लिकेशन के साथ काम करने से जुड़ी समस्याओं की वजह से, CVE-2021-0428 को हटा दिया गया है. |