Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-10-2022 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को सभी समस्याओं की सूचना, पब्लिकेशन से कम से कम एक महीने पहले दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ कर दिए जाएंगे. AOSP के लिंक उपलब्ध होने पर, हम इस सूचना में बदलाव करेंगे.
इनमें से सबसे गंभीर समस्या, फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी गंभीर समस्या है. इसकी वजह से, स्थानीय स्तर पर ऐक्सेस लेवल को बढ़ाया जा सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. गंभीरता का आकलन इस बात पर आधारित होता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने वाली सुविधाएं बंद हैं या नहीं या उन्हें बाईपास कर दिया गया है.
Android और Google Play Protect के ज़रिए, खतरों को कम करने वाले सेक्शन में जाकर, Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में जानें. इनसे Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को हल करने के तरीके
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect की मदद से, इस तरह के हमलों को कम करने के तरीकों के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं.
01-10-2022 सुरक्षा पैच के लेवल से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-10-2022 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2022-20419 | A-237290578 | आईडी | सबसे अहम | 12L, 13 |
| CVE-2022-20420 | A-238377411 | EoP | ज़्यादा | 13 |
| CVE-2022-20351 | A-224771921 | आईडी | ज़्यादा | 10, 11, 12, 12L |
| CVE-2021-39624 | A-67862680 | डीओएस | ज़्यादा | 11, 12, 12L |
| CVE-2021-39758 | A-205130886 | EoP | काफ़ी हद तक ठीक है | 10, 11, 12 |
| CVE-2022-20415 | A-231322873 | EoP | काफ़ी हद तक ठीक है | 10, 11, 12, 12L, 13 |
मीडिया फ़्रेमवर्क
इस सेक्शन में सबसे गंभीर जोखिम यह है कि स्थानीय जानकारी ज़ाहिर हो सकती है. इसके लिए, उपयोगकर्ता को 'कार्रवाई करने की अनुमति' की ज़रूरत होती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2022-20413 | A-235850634 | आईडी | ज़्यादा | 10, 11, 12, 12L, 13 |
| CVE-2022-20418 | A-231986464 | आईडी | ज़्यादा | 12, 12L, 13 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस की अनुमतियों में बढ़ोतरी हो सकती है. इसके लिए, सिस्टम को चलाने की अनुमतियां ज़रूरी हैं.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2022-20412 | A-230794395 | EoP | ज़्यादा | 10, 11, 12, 12L, 13 |
| CVE-2022-20416 | A-237717857 | EoP | ज़्यादा | 12, 12L, 13 |
| CVE-2022-20417 | A-237288416 | EoP | ज़्यादा | 12, 12L, 13 |
| CVE-2021-39673 | A-195410559 [2] | आईडी | ज़्यादा | 13 |
| CVE-2022-20394 | A-204906124 | आईडी | ज़्यादा | 10, 11, 12, 12L |
| CVE-2022-20410 | A-205570663 | आईडी | ज़्यादा | 10, 11, 12, 12L, 13 |
| CVE-2022-20425 | A-235823407 | डीओएस | ज़्यादा | 10, 11, 12, 12L, 13 |
Google Play के सिस्टम अपडेट
इस महीने, Google Play के सिस्टम अपडेट (Project Mainline) में सुरक्षा से जुड़ी कोई समस्या ठीक नहीं की गई है.
05-10-2022 सुरक्षा पैच के लेवल पर मौजूद जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 05-10-2022 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
कर्नेल
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2022-1786 | A-230867044
अपस्ट्रीम कर्नेल [2] |
EoP | ज़्यादा | io_uring |
| CVE-2022-20421 | A-239630375
अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | बाइंडर ड्राइवर |
| CVE-2022-20422 | A-237540956
अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | armv8 एम्युलेशन |
| CVE-2022-20423 | A-239842288
अपस्ट्रीम कर्नेल [2] |
EoP | ज़्यादा | यूएसबी |
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद जोखिम की वजह से, सिस्टम को चलाने की अनुमतियों के साथ, स्थानीय स्तर पर विशेषाधिकार बढ़ सकते हैं.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2022-20409 | A-238177383
अपस्ट्रीम कर्नेल |
EoP | काफ़ी हद तक ठीक है | io_uring |
Imagination Technologies
इन कमजोरियों का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Imagination Technologies से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे Imagination Technologies करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2021-0696 | A-242344778 * | ज़्यादा | PowerVR-GPU |
| CVE-2021-0951 |
A-242345085 * | ज़्यादा | PowerVR-GPU |
| CVE-2021-0699 | A-242345178 * | ज़्यादा | PowerVR-GPU |
MediaTek के कॉम्पोनेंट
इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2022-26471 | A-234037999
M-ALPS07319121 * |
ज़्यादा | टेलीफ़ोनी |
| CVE-2022-26472 | A-234037216
M-ALPS07319095 * |
ज़्यादा | ims |
UNISOC के कॉम्पोनेंट
इन कमजोरियों का असर UNISOC के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे UNISOC से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, UNISOC सीधे तौर पर करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2022-20430 | A-242221233
U-1882896 * |
ज़्यादा | टेलीफ़ोनी |
| CVE-2022-20431 | A-242221238
U-1882896 * |
ज़्यादा | टेलीफ़ोनी |
| CVE-2022-20432 | A-242221899
U-1882896 * |
ज़्यादा | टेलीफ़ोनी |
| CVE-2022-20433 | A-242221901
U-1882896 * |
ज़्यादा | टेलीफ़ोनी |
| CVE-2022-20434 | A-242244028
U-1882896 * |
ज़्यादा | टेलीफ़ोनी |
| CVE-2022-20435 | A-242248367
U-1901996 * |
ज़्यादा | Android |
| CVE-2022-20436 | A-242248369
U-1901996 * |
ज़्यादा | Android |
| CVE-2022-20437 | A-242258929
U-1916307 * |
ज़्यादा | Android |
| CVE-2022-20438 | A-242259920
U-1916307 * |
ज़्यादा | Android |
| CVE-2022-20439 | A-242266172
U-1916307 * |
ज़्यादा | Android |
| CVE-2022-20440 | A-242259918
U-1916307 * |
ज़्यादा | Android |
Qualcomm के कॉम्पोनेंट
इन कमजोरियों का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2022-25720 | A-238214313 QC-CR#3048142 QC-CR#3049634 QC-CR#3051517 QC-CR#3102432 |
सबसे अहम | वाई-फ़ाई |
| CVE-2022-22077 | A-238108281 QC-CR#3155201 |
ज़्यादा | कर्नेल |
| CVE-2022-25723 | A-238108282 QC-CR#3072203 |
ज़्यादा | कर्नेल |
| CVE-2022-33214 | A-238103940 QC-CR#3178237 |
ज़्यादा | डिसप्ले |
| CVE-2022-33217 | A-238103939 QC-CR#3182864 |
ज़्यादा | कर्नेल |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2022-25718 | A-238106982 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-25748 | A-238106075 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-25660 | A-228101818 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-25661 | A-228101758 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-25687 | A-238106629 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-25736 | A-238214356 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-25749 | A-238106077 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-10-2022 या उसके बाद के सुरक्षा पैच के लेवल, 01-10-2022 के सुरक्षा पैच के लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
- 05-10-2022 या इसके बाद के सिक्योरिटी पैच लेवल, 05-10-2022 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
डिवाइस बनाने वाली जिन कंपनियों ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2022-10-01]
- [ro.build.version.security_patch]:[2022-10-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-10-2022 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के सबसे नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-10-2022 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 05-10-2022 या उसके बाद का सिक्योरिटी पैच लेवल इस्तेमाल किया जा रहा है उनमें इस और पिछले सिक्योरिटी ब्यौरे में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए, सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से मिलते हैं.
6. सुरक्षा से जुड़ी जोखिम की संभावनाओं को इस सूचना और डिवाइस / पार्टनर की सुरक्षा से जुड़ी सूचनाओं के बीच क्यों बांटा जाता है, जैसे कि Pixel की सूचना?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सुरक्षा पैच का नया लेवल तय किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में बताई गई अतिरिक्त सुरक्षा से जुड़ी कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 3 अक्टूबर, 2022 | बुलेटिन पब्लिश किया गया |
| 1.1 | 5 अक्टूबर, 2022 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया |