हमारा सुझाव है कि 27 मार्च, 2025 से AOSP को बनाने और उसमें योगदान देने के लिए, aosp-main के बजाय android-latest-release का इस्तेमाल करें. ज़्यादा जानकारी के लिए, AOSP में हुए बदलाव लेख पढ़ें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

Android सुरक्षा बुलेटिन—मई 2022

पब्लिश किया गया: 2 मई, 2022 | अपडेट किया गया: 3 मई, 2022

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-05-2022 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के रिपॉज़िटरी में रिलीज़ किए गए हैं. साथ ही, इन्हें इस बुलेटिन से लिंक किया गया है. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इनमें से सबसे गंभीर समस्या, फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी गंभीर समस्या है. इसकी वजह से, उपयोगकर्ता को ऐक्सेस करने की अनुमतियों के साथ स्थानीय स्तर पर अनुमतियों को बढ़ाया जा सकता है. गंभीर समस्या का आकलन, इस बात पर आधारित होता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने वाली सुविधाएं बंद हैं या नहीं या फिर उन्हें बाईपास कर दिया गया है.

Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए सुरक्षा को बेहतर बनाने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.

Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना

इस टेबल में, Android के सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect से मिलने वाले सुरक्षा उपायों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि जहां भी हो सके, सभी उपयोगकर्ता अपने डिवाइस को Android के नए वर्शन पर अपडेट करें.
Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं.

01-05-2022 के सुरक्षा पैच लेवल की समस्या की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-05-2022 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.

फ़्रेमवर्क

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, उपयोगकर्ता के पास स्थानीय स्तर पर अनुमति बढ़ने की समस्या हो सकती है. इसके लिए, उपयोगकर्ता के पास अनुमति देने की अनुमति होनी चाहिए.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2021-39662	A-197302116	EoP	ज़्यादा	11, 12
CVE-2022-20004	A-179699767	EoP	ज़्यादा	10, 11, 12, 12L
CVE-2022-20005	A-219044664	EoP	ज़्यादा	10, 11, 12, 12L
CVE-2022-20007	A-211481342	EoP	ज़्यादा	10, 11, 12, 12L
CVE-2021-39700	A-201645790	आईडी	काफ़ी हद तक ठीक है	10, 11, 12

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2022-20113	A-205996517	EoP	ज़्यादा	12, 12L
CVE-2022-20114	A-211114016	EoP	ज़्यादा	10, 11, 12, 12L
CVE-2022-20116	A-212467440	EoP	ज़्यादा	12, 12L
CVE-2022-20010	A-213519176	आईडी	ज़्यादा	12, 12L
CVE-2022-20011	A-214999128	आईडी	ज़्यादा	10, 11, 12, 12L
CVE-2022-20115	A-210118427	आईडी	ज़्यादा	12, 12L
CVE-2021-39670	A-204087139	डीओएस	ज़्यादा	12, 12L
CVE-2022-20112	A-206987762	डीओएस	ज़्यादा	10, 11, 12, 12L

Google Play के सिस्टम अपडेट

Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

कॉम्पोनेंट	CVE
MediaProvider	CVE-2021-39662

05-05-2022 के सुरक्षा पैच लेवल की समस्या की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-05-2022 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

Kernel कॉम्पोनेंट

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, सिस्टम लाइब्रेरी में स्थानीय तौर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, प्रोग्राम को चलाने के लिए किसी और ऐक्सेस लेवल की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	कॉम्पोनेंट
CVE-2022-0847	A-220741611 अपस्ट्रीम कर्नेल [2] [3]	EoP	ज़्यादा	पाइप
CVE-2022-20009	A-213172319 अपस्ट्रीम कर्नेल [2]	EoP	ज़्यादा	Linux
CVE-2022-20008	A-216481035 अपस्ट्रीम कर्नेल [2] [3]	आईडी	ज़्यादा	एसडी एमएमसी
CVE-2021-22600	A-213464034 अपस्ट्रीम कर्नेल	EoP	काफ़ी हद तक ठीक है	कर्नेल

MediaTek के कॉम्पोनेंट

इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, MediaTek सीधे तौर पर करता है.

CVE	रेफ़रंस	गंभीरता	कॉम्पोनेंट
CVE-2022-20084	A-223071148 M-ALPS06498874 *	ज़्यादा	टेलीफ़ोनी
CVE-2022-20109	A-223072269 M-ALPS06399915 *	ज़्यादा	आयन
CVE-2022-20110	A-223071150 M-ALPS06399915 *	ज़्यादा	आयन

Qualcomm के कॉम्पोनेंट

इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	कॉम्पोनेंट
CVE-2022-22057	A-218337595 QC-CR#3077687	ज़्यादा	डिसप्ले
CVE-2022-22064	A-218338071 QC-CR#3042282 QC-CR#3048959 QC-CR#3056532 QC-CR#3049158 [2]	ज़्यादा	वाई-फ़ाई
CVE-2022-22065	A-218337597 QC-CR#3042293 QC-CR#3064612	ज़्यादा	वाई-फ़ाई
CVE-2022-22068	A-218337596 QC-CR#3084983 [2]	ज़्यादा	कर्नेल
CVE-2022-22072	A-218339149 QC-CR#3073345 [2]	ज़्यादा	वाई-फ़ाई

Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट

इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	कॉम्पोनेंट
CVE-2021-35090	A-204905205*	सबसे अहम	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-35072	A-204905110*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-35073	A-204905209*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-35076	A-204905151*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-35078	A-204905326*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-35080	A-204905287*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-35086	A-204905289*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-35087	A-204905111*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-35094	A-204905838*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-35096	A-204905290*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-35116	A-209469826*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट

Kernel LTS

यहां दी गई टेबल में, सुरक्षा पैच लेवल की शर्तों को पूरा करने के लिए, कम से कम kernel वर्शन की ज़रूरत के बारे में बताया गया है. Android लॉन्च वर्शन से, Android OS के उस वर्शन का पता चलता है जो डिवाइस के लॉन्च के समय उस पर मौजूद था. वहीं, कर्नेल वर्शन से, Linux कर्नेल के उस वर्शन का पता चलता है जो फ़िलहाल डिवाइस पर मौजूद है.

रेफ़रंस	Android OS का लॉन्च वर्शन	Kernel वर्शन	अपडेट का कम से कम वर्शन
A-202441831	11	5.4	5.4.147
A-204345773	12	5.4	5.4.147

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

01-05-2022 या उसके बाद के सुरक्षा पैच लेवल, 01-05-2022 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
05-05-2022 या इसके बाद के सिक्योरिटी पैच लेवल, 05-05-2022 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:

[ro.build.version.security_patch]:[2022-05-01]
[ro.build.version.security_patch]:[2022-05-05]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-05-2022 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?

इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

जिन डिवाइसों में 01-05-2022 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
जिन डिवाइसों में 05-05-2022 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए, सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.

संक्षेपण	परिभाषा
आरसीई	रिमोट कोड को चलाना
EoP	प्रिविलेज एस्कलेशन
आईडी	जानकारी ज़ाहिर करना
डीओएस	सेवा में रुकावट
लागू नहीं	क्लासिफ़िकेशन उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.

प्रीफ़िक्स	रेफ़रंस
A-	Android गड़बड़ी का आईडी
QC-	Qualcomm का रेफ़रंस नंबर
M-	MediaTek का रेफ़रंस नंबर
N-	NVIDIA का रेफ़रंस नंबर
B-	Broadcom का रेफ़रंस नंबर
U-	UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से उपलब्ध होते हैं.

6. सुरक्षा से जुड़ी समस्याओं को इस सूचना और डिवाइस / पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?

इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सुरक्षा पैच का नया लेवल तय किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में बताई गई अतिरिक्त सुरक्षा से जुड़ी कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन	तारीख	नोट
1.0	May 2, 2022	बुलेटिन पब्लिश किया गया
1.1	3 मई, 2022	AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया