Android का सुरक्षा बुलेटिन—जून 2024

3 जून, 2024 को पब्लिश किया गया

'Android सुरक्षा बुलेटिन' में Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़े जोखिमों की जानकारी होती है. 05-06-2024 या इसके बाद के सिक्योरिटी पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सिक्योरिटी पैच लेवल की जांच करने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

Android पार्टनर को, पब्लिकेशन से कम से कम एक महीने पहले सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए, सोर्स कोड पैच अगले 48 घंटों में Android ओपन सोर्स प्रोजेक्ट (एओएसपी) डेटा स्टोर करने की जगह में रिलीज़ कर दिए जाएंगे. एओएसपी लिंक उपलब्ध होने पर, हम उनके साथ इस बुलेटिन में बदलाव करेंगे.

इन समस्याओं में से सबसे गंभीर, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ा ज़्यादा जोखिम है. इसकी वजह से, स्थानीय स्तर पर खास सुविधाओं को ऐक्सेस करने की सूचना मिल सकती है. इसके लिए, किसी खास अधिकार की ज़रूरत नहीं होती. गंभीरता का आकलन इस बात पर आधारित होता है कि जोखिम की आशंका का फ़ायदा किसी ऐसे डिवाइस पर लिया जा सकता है जिस पर इस समस्या का असर हुआ हो. इसके लिए, यह माना जाता है कि डेवलपमेंट के मकसद से प्लैटफ़ॉर्म और सेवा को रोकने की सुविधा बंद की गई है या इसे बायपास किया गया है.

Android के सुरक्षा प्लैटफ़ॉर्म की सुरक्षा और Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाने वाले Google Play Protect के बारे में जानने के लिए, Android और Google Play Protect से मिलने वाले खतरों को कम करने से जुड़ी जानकारी सेक्शन देखें.

Android और Google की सेवाओं पर होने वाले प्रतिबंध

यहां Android सिक्योरिटी प्लैटफ़ॉर्म और Google Play Protect जैसी सेवा की सुरक्षा से जुड़े जोखिमों को कम करने के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़े जोखिमों का गलत इस्तेमाल होने की संभावना कम हो जाती है.

  • Android प्लैटफ़ॉर्म के नए वर्शन को बेहतर बनाने की वजह से, Android पर कई समस्याओं का शोषण करना और भी आसान हो गया है. हमारा सुझाव है कि जहां भी हो सके, सभी उपयोगकर्ताओं को Android के नए वर्शन पर अपडेट करें.
  • Android की सुरक्षा टीम Google Play Protect की मदद से, गलत इस्तेमाल पर नज़र बनाए रखती है और उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google Play Protect, Google की मोबाइल सेवाओं वाले डिवाइसों पर डिफ़ॉल्ट रूप से चालू रहता है. यह खास तौर पर उन लोगों के लिए ज़रूरी है जो Google Play के अलावा, किसी दूसरे प्लैटफ़ॉर्म से ऐप्लिकेशन इंस्टॉल करते हैं.

01-06-2024 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंका की जानकारी

नीचे दिए गए सेक्शन में, हम 01-06-2024 के पैच लेवल पर लागू होने वाली सुरक्षा से जुड़े हर जोखिम की जानकारी देते हैं. जोखिमों को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनसे असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़ी जानकारी, जोखिम की समस्या का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं, जैसे एओएसपी बदलाव सूची. जब किसी एक गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद आने वाले नंबर से लिंक हो जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट और Google Play के सिस्टम अपडेट भी मिल सकते हैं.

फ़्रेमवर्क

इस सेक्शन में सबसे गंभीर जोखिम की वजह से, स्थानीय लोगों को मिलने वाले खास अधिकारों में बढ़ोतरी हो सकती है. साथ ही, हो सकता है कि इसके लिए किसी खास अधिकार की ज़रूरत न पड़े.

सीवीई रेफ़रंस टाइप गंभीरता अपडेट किए गए AOSP वर्शन
CVE-2023-21266 ए-223376078 ईओपी ज़्यादा 12, 12 ली॰, 13
CVE-2024-31310 ए-324874908 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-31316 A-321941232 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-31317 A-316153291 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-31318 A-313428840 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-31319 ए-317357401 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-31322 ए-326485767 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-31324 A-302431573 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-31325 A-317503801 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-31326 A-318497672 [2] ईओपी ज़्यादा 14
CVE-2024-31312 A-314333719 आईडी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-31314 A-304290201 डीओएस ज़्यादा 12, 12 ली॰, 13, 14

सिस्टम

इस सेक्शन में सबसे गंभीर जोखिम की वजह से, स्थानीय लोगों को मिलने वाले खास अधिकारों में बढ़ोतरी हो सकती है. इसके लिए, किसी खास अधिकार की ज़रूरत नहीं होगी.

सीवीई रेफ़रंस टाइप गंभीरता अपडेट किए गए AOSP वर्शन
CVE-2023-21113 A-267231571 [2] [3] ईओपी ज़्यादा 12, 12 ली॰, 13
CVE-2023-21114 A-272106880 [2] [3] ईओपी ज़्यादा 13
CVE-2024-31311 A-330054251 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-31313 ए-321341508 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-31315 ए-321707289 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-31323 ए-313425281 ईओपी ज़्यादा 14
CVE-2024-31327 ए-321326147 ईओपी ज़्यादा 12, 12 ली॰, 13, 14

Google Play के सिस्टम अपडेट

Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल होती हैं.

सबकॉम्पोनेंट सीवीई
सेहत बेहतर करने की सेवा CVE-2024-31323
आंकड़े वाले CVE-2024-31311
वाई-फ़ाई CVE-2023-21114

05-06-2024 सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंका की जानकारी

नीचे दिए गए सेक्शन में, हम 05-06-2024 के पैच लेवल पर लागू होने वाली सुरक्षा से जुड़े हर जोखिम की जानकारी देते हैं. जोखिमों को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनसे असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़ी जानकारी, जोखिम की समस्या का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं, जैसे एओएसपी बदलाव सूची. जब किसी एक गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद आने वाले नंबर से लिंक हो जाते हैं.

कर्नेल

इस सेक्शन में सुरक्षा से जुड़े जोखिम की वजह से, कर्नेल में खास अधिकारों को स्थानीय स्तर पर आगे बढ़ाया जा सकता है. ऐसा करने पर, हो सकता है कि एक्ज़ीक्यूशन के किसी खास अधिकार की ज़रूरत न हो.

सीवीई रेफ़रंस टाइप गंभीरता सबकॉम्पोनेंट
CVE-2024-26926 A-320661088
अपस्ट्रीम कर्नेल [2]
ईओपी ज़्यादा बाइंडर

कॉम्पोनेंट को ग्रुप में बांटना

ये जोखिम, आर्म कॉम्पोनेंट पर असर डालते हैं. साथ ही, इस बारे में ज़्यादा जानकारी सीधे आर्म से ही ली जा सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर आर्म के ज़रिए दिया जाता है.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
CVE-2024-0671
A-329094549 * ज़्यादा माली
सीवीई-2024-1065
A-329096276 * ज़्यादा माली

कल्पना तकनीक

ये जोखिम की आशंकाएं, Imagination Technologies के कॉम्पोनेंट पर असर डालती हैं. साथ ही, ज़्यादा जानकारी सीधे Imagination Technologies से पाई जा सकती है. इन समस्याओं की गंभीरता का आकलन सीधे Imagination Technologies ने किया है.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
CVE-2024-23695
A-331245718 * ज़्यादा पावरवीआर-जीपीयू
CVE-2024-23696
A-331244771 * ज़्यादा पावरवीआर-जीपीयू
CVE-2024-23697
A-331245500 * ज़्यादा पावरवीआर-जीपीयू
CVE-2024-23698
A-331239675 * ज़्यादा पावरवीआर-जीपीयू
CVE-2024-23711
A-332571891 * ज़्यादा पावरवीआर-जीपीयू

MediaTek कॉम्पोनेंट

इन जोखिमों की वजह से MediaTek के कॉम्पोनेंट पर असर पड़ सकता है. इस बारे में ज़्यादा जानकारी सीधे MediaTek से मिल सकती है. इन समस्याओं की गंभीरता का आकलन सीधे MediaTek उपलब्ध कराता है.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
सीवीई-2024-20065
A-332178746
M-ALPS08698617 *
ज़्यादा टेलीफ़ोनी
सीवीई-2024-20069
A-332178751
M-MOLY01286330 *
ज़्यादा मॉडम
सीवीई-2024-20066
A-332001819
M-MOLY01267281 *
ज़्यादा मॉडम
सीवीई-2024-20067
A-332186387
M-MOLY01267285 *
ज़्यादा मॉडम
सीवीई-2024-20068
A-332178749
M-MOLY01270721 *
ज़्यादा मॉडम

Qualcomm क्लोज़्ड-सोर्स कॉम्पोनेंट

ये जोखिम, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर असर डालते हैं. इनके बारे में Qualcomm के सही सुरक्षा बुलेटिन या सुरक्षा चेतावनी में ज़्यादा जानकारी दी गई है. इन समस्याओं की गंभीरता का आकलन सीधे Qualcomm के ज़रिए किया जाता है.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
CVE-2023-43538
A-314791539 * सबसे अहम सिद्धांत क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-43551
A-314791442 * सबसे अहम सिद्धांत क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-43556
A-314791052 * सबसे अहम सिद्धांत क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-43542
A-314790691 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2024-23363
A-328084351 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट

अक्सर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, उन आम सवालों के जवाब दिए गए हैं जो इस बुलेटिन को पढ़ने के बाद आम तौर पर पूछे जा सकते हैं.

1. मैं कैसे पता करूं कि इन समस्याओं को ठीक करने के लिए, मेरा डिवाइस अपडेट है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

  • 01-06-2024 या इसके बाद के सिक्योरिटी पैच लेवल, 01-06-2024 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
  • 05-06-2024 या इसके बाद के सिक्योरिटी पैच लेवल, 05-06-2024 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं और पिछले सभी पैच लेवल का पता लगाते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इस हिसाब से सेट करना चाहिए:

  • [ro.build.version.security_patch]:[01-06-2024]
  • [ro.build.version.security_patch]:[05-06-2024]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख वाली स्ट्रिंग होगी, जो 01-06-2024 के सुरक्षा पैच लेवल से मेल खाती है. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानकारी के लिए, कृपया यह लेख देखें.

2. इस बुलेटिन में दो सुरक्षा पैच लेवल क्यों हैं?

इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं. इसकी मदद से, Android पार्टनर उन जोखिमों के सबसेट को ज़्यादा तेज़ी से ठीक कर सकते हैं जो सभी Android डिवाइसों पर एक जैसे होते हैं. Android पार्टनर को इस बुलेटिन में दी गई सभी समस्याओं को ठीक करने और सबसे नए सुरक्षा पैच लेवल का इस्तेमाल करने की सलाह दी जाती है.

  • जिन डिवाइसों में 2024-06-01 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं की जानकारी होनी चाहिए. साथ ही, उन सभी समस्याओं को ठीक करना भी ज़रूरी है जिनके बारे में पिछले सुरक्षा बुलेटिन में बताया गया था.
  • जिन डिवाइसों में 05-06-2024 या इसके बाद के सुरक्षा पैच लेवल का इस्तेमाल किया जाता है उनमें सुरक्षा से जुड़े इस बुलेटिन में लागू होने वाले सभी पैच शामिल होने चाहिए. साथ ही, उन पैच को भी इससे पहले के सुरक्षा बुलेटिन में शामिल किया जाना चाहिए.

पार्टनर को इस बात की सलाह दी जाती है कि वे सभी समस्याओं को एक ही अपडेट में ठीक कर लें.

3. टाइप कॉलम में दी गई एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी वाली टेबल के टाइप कॉलम में दी गई एंट्री से पता चलता है कि सुरक्षा से जुड़े जोखिम की कैटगरी क्या है.

संक्षेपण परिभाषा
आरसीई रिमोट कोड इस्तेमाल करना
ईओपी खास अधिकारों से जुड़ी शर्तें
आईडी जानकारी ज़ाहिर करना
डीओएस सेवा अस्वीकार की गई
लागू नहीं वर्गीकरण उपलब्ध नहीं है

4. रेफ़रंस कॉलम में दी गई जानकारी का क्या मतलब है?

जोखिम की आशंका की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.

प्रीफ़िक्स रेफ़रंस
A- Android बग आईडी
क्यूसी- Qualcomm रेफ़रंस नंबर
पु॰- MediaTek रेफ़रंस नंबर
नहीं- NVIDIA का रेफ़रंस नंबर
B- ब्रॉडकॉम रेफ़रंस नंबर
यू- UNISOC रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android की गड़बड़ी के आईडी के बगल में मौजूद * का क्या मतलब है?

जो समस्याएं सार्वजनिक तौर पर उपलब्ध नहीं हैं उनसे जुड़े रेफ़रंस आईडी के बगल में * बना होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए नए बाइनरी ड्राइवर में शामिल होता है. यह जानकारी Google Developer साइट पर उपलब्ध होती है.

6. सुरक्षा से जुड़े जोखिम की आशंकाएं, इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन में अलग-अलग कैटगरी में क्यों आती हैं, जैसे कि Pixel बुलेटिन?

सुरक्षा से जुड़े इस बुलेटिन में बताए गए सुरक्षा से जुड़े जोखिमों के बारे में, Android डिवाइसों पर सुरक्षा पैच के नए लेवल की जानकारी देना ज़रूरी है. सुरक्षा पैच लेवल की जानकारी देने के लिए, डिवाइस / पार्टनर के सुरक्षा बुलेटिन में सुरक्षा से जुड़े अतिरिक्त जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी अपने प्रॉडक्ट के लिए, सुरक्षा से जुड़े जोखिम की संभावना से जुड़ी जानकारी पब्लिश कर सकती हैं, जैसे कि Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन तारीख नोट बनाना
1.0 3 जून, 2024 बुलेटिन प्रकाशित किया गया