Android सुरक्षा बुलेटिन—जनवरी 2024

पब्लिश करने की तारीख: 3 जनवरी, 2024 | अपडेट करने की तारीख: 16 जनवरी, 2024

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. सुरक्षा पैच के लेवल 05-01-2024 या उसके बाद के वर्शन में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

पब्लिकेशन से कम से कम एक महीने पहले, Android पार्टनर को सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए जाएंगे. AOSP के लिंक उपलब्ध होने पर, हम इस सूचना में बदलाव करेंगे.

इनमें से सबसे गंभीर समस्या, फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी गंभीर समस्या है. इसकी वजह से, स्थानीय स्तर पर ऐक्सेस लेवल को बढ़ाया जा सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. गंभीर समस्या का आकलन, इस बात पर आधारित होता है कि इससे जिस डिवाइस पर असर पड़ा है उस पर, इस समस्या का इस्तेमाल करने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कम करने की सुविधाएं बंद हैं या नहीं या इन्हें बाईपास किया गया है या नहीं.

Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए जोखिम कम करने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.

Android और Google की सेवाओं के लिए, सुरक्षा से जुड़ी समस्याओं को कम करने के तरीके

इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवाओं को सुरक्षित रखने के तरीकों के बारे में बताया गया है. जैसे, Google Play Protect. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

  • Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
  • Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा, किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.

01-01-2024 सुरक्षा पैच के लेवल से जुड़ी समस्या की जानकारी

नीचे दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी देते हैं जो 01-01-2024 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.

फ़्रेमवर्क

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस की अनुमति बढ़ सकती है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE रेफ़रंस टाइप गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2023-21245 A-222446076 [2] EoP ज़्यादा 11, 12, 12L, 13, 14
CVE-2024-0015 A-300090204 EoP ज़्यादा 11, 12, 12L, 13
CVE-2024-0018 A-300476626 EoP ज़्यादा 11, 12, 12L, 13, 14
CVE-2024-0023 A-283099444 [2] EoP ज़्यादा 11, 12, 12L, 13, 14
CVE-2024-0019 A-294104969 आईडी ज़्यादा 12, 12L, 13, 14

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस की अनुमति बढ़ सकती है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE रेफ़रंस टाइप गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-0021 A-282934003 EoP ज़्यादा 13, 14
CVE-2023-40085 A-269271098 आईडी ज़्यादा 12, 12L, 13
CVE-2024-0016 A-279169188 [2] आईडी ज़्यादा 11, 12, 12L, 13, 14
CVE-2024-0017 A-285142084 आईडी ज़्यादा 11, 12, 12L, 13, 14
CVE-2024-0020 A-299614635 आईडी ज़्यादा 11, 12, 12L, 13, 14

Google Play के सिस्टम अपडेट

Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

सब-कॉम्पोनेंट CVE
मीडिया कोडेक CVE-2024-0018

05-01-2024 सुरक्षा पैच के लेवल पर मौजूद जोखिम की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-01-2024 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

ग्रुप के कॉम्पोनेंट

इन कमजोरियों का असर Arm के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Arm से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Arm करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2023-4295
A-275619408 * ज़्यादा माली
CVE-2023-5427
A-308188337 * ज़्यादा माली

Imagination Technologies

इस समस्या का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Imagination Technologies से संपर्क करें. इस समस्या की गंभीरता का आकलन, सीधे Imagination Technologies करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2023-21165
A-292001469 * ज़्यादा PowerVR-GPU

MediaTek के कॉम्पोनेंट

इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे MediaTek करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2023-32874
A-309364195
M-MOLY01161803 *
ज़्यादा मोडेम आईएमएस स्टैक
CVE-2023-32872
A-309367791
M-ALPS08308607 *
ज़्यादा keyInstall

Unisoc के कॉम्पोनेंट

इन कमजोरियों का असर Unisoc के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Unisoc से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, Unisoc सीधे तौर पर करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2023-48340
A-311290655
U-2228010 *
ज़्यादा Android
CVE-2023-48341
A-311288752
U-2227052 *
ज़्यादा Android
CVE-2023-48342
A-311288747
U-2227689 *
ज़्यादा Android
CVE-2023-48343
A-311290653
U-2227689 *
ज़्यादा Android
CVE-2023-48344
A-311282174
U-2266624 *
ज़्यादा Android
CVE-2023-48348
A-311279656
U-2227052 *
ज़्यादा Android
CVE-2023-48349
A-311279652
U-2219058 *
ज़्यादा Android
CVE-2023-48350
A-311279655
U-2219062 *
ज़्यादा Android
CVE-2023-48351
A-311273934
U-2219064 *
ज़्यादा Android
CVE-2023-48352
A-311273933
U-2153501 *
ज़्यादा Android

Qualcomm के कॉम्पोनेंट

इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2023-33094
A-295908146
QC-CR#3490029 [2]
ज़्यादा डिसप्ले
CVE-2023-33108
A-294872878
QC-CR#3594896
ज़्यादा डिसप्ले
CVE-2023-33110
A-303101147
QC-CR#3459076 [2]
ज़्यादा ऑडियो
CVE-2023-33113
A-303101624
QC-CR#3495200 [2]
ज़्यादा कर्नेल
CVE-2023-33114
A-303101495
QC-CR#3520999 [2]
ज़्यादा कर्नेल
CVE-2023-33117
A-303101067
QC-CR#3531543
ज़्यादा ऑडियो
CVE-2023-33120
A-303101456
QC-CR#3538938 [2] [3]
ज़्यादा ऑडियो
CVE-2023-43514
A-303101664
QC-CR#3613254
ज़्यादा कर्नेल

Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट

इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2023-21651
A-268059825 * सबसे अहम क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33025
A-290061199 * सबसे अहम क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33036
A-290061245 * सबसे अहम क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2022-33275
A-280342403 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-28544
A-280342360 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-28548
A-280342264 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-28557
A-280342461 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-28558
A-280342364 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-28559
A-280342379 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-28560
A-280342458 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-28564
A-280342073 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-28565
A-280341573 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-28567
A-280341537 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33014
A-290060890 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33030
A-290061201 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33032
A-290061658 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33033
A-290060591 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33037
A-290061062 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33040
A-290061061 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33043
A-295039021 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33044
A-295039321 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33062
A-303101463 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33109
A-303102144 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33112
A-303101016 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-43511
A-303101323 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

  • 01-01-2024 या उसके बाद के सुरक्षा पैच लेवल, 01-01-2024 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
  • 05-01-2024 या इसके बाद के सिक्योरिटी पैच लेवल, 05-01-2024 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2024-01-01]
  • [ro.build.version.security_patch]:[2024-01-05]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में, तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-01-2024 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?

इस सूचना में दो सिक्योरिटी पैच लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

  • जिन डिवाइसों में 01-01-2024 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
  • जिन डिवाइसों में 05-01-2024 या उसके बाद का सिक्योरिटी पैच लेवल इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन पर वे काम कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.

संक्षेपण परिभाषा
आरसीई रिमोट कोड को चलाना
EoP प्रिविलेज एस्कलेशन
आईडी जानकारी ज़ाहिर करना
डीओएस सेवा में रुकावट
लागू नहीं क्लासिफ़िकेशन उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.

प्रीफ़िक्स रेफ़रंस
A- Android गड़बड़ी का आईडी
QC- Qualcomm का रेफ़रंस नंबर
M- MediaTek का रेफ़रंस नंबर
N- NVIDIA का रेफ़रंस नंबर
B- Broadcom का रेफ़रंस नंबर
U- UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए बने नए बिटरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से उपलब्ध होते हैं.

6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को, इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel के बुलेटिन के बीच क्यों बांटा जाता है?

इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सबसे नए सिक्योरिटी पैच लेवल का एलान किया जाता है. सुरक्षा से जुड़ी जोखिमों की जानकारी, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में दी जाती है. हालांकि, सुरक्षा पैच लेवल का एलान करने के लिए, इन जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन तारीख अहम जानकारी
1.0 3 जनवरी, 2024 बुलेटिन पब्लिश हो गया.
1.1 16 जनवरी, 2024 AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया है.