Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़े जोखिम की आशंकाओं के बारे में जानकारी होती है. 5 अप्रैल, 2025 या इसके बाद के सुरक्षा पैच लेवल में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को सभी समस्याओं के बारे में, पब्लिकेशन से कम से कम एक महीने पहले सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ किए जाएंगे. जब AOSP लिंक उपलब्ध होंगे, तब हम इस बुलेटिन को AOSP लिंक के साथ अपडेट करेंगे.
इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में मौजूद सुरक्षा से जुड़ी गंभीर कमज़ोरी है. इससे, बिना किसी अतिरिक्त अनुमति के, रिमोट तरीके से विशेषाधिकारों को बढ़ाया जा सकता है. इस गड़बड़ी का फ़ायदा उठाने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती. गंभीरता का आकलन इस आधार पर किया जाता है कि सुरक्षा से जुड़ी इस कमज़ोरी का फ़ायदा उठाने से, प्रभावित डिवाइस पर क्या असर पड़ सकता है. यह आकलन तब किया जाता है, जब डेवलपमेंट के लिए प्लैटफ़ॉर्म और सेवा से जुड़ी सुरक्षा कम करने वाली सुविधाओं को बंद कर दिया गया हो या उन्हें बाईपास कर दिया गया हो.
Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं के बारे में जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं सेक्शन पर जाएं. इससे आपको Android के सुरक्षा प्लैटफ़ॉर्म से जुड़ी सुरक्षा सुविधाओं और Google Play Protect के बारे में जानकारी मिलेगी. ये सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.
Android और Google की सेवा से जुड़ी समस्याएं कम करने के तरीके
यहां Android सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सुरक्षा सेवाओं से जुड़ी कमियों को दूर करने के बारे में खास जानकारी दी गई है. इन क्षमताओं की वजह से, Android पर सुरक्षा से जुड़ी कमज़ोरियों का फ़ायदा नहीं उठाया जा सकता.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हम सभी उपयोगकर्ताओं को सलाह देते हैं कि वे Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाएं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह उन लोगों के लिए खास तौर पर ज़रूरी है जो Google Play के अलावा किसी और सोर्स से ऐप्लिकेशन इंस्टॉल करते हैं.
1 अप्रैल, 2025 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंकाओं की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी दी गई है जो 2025-04-01 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
Framework
इस सेक्शन में मौजूद सबसे गंभीर कमज़ोरी की वजह से, स्थानीय स्तर पर विशेषाधिकारों को बढ़ाया जा सकता है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती. इसका गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2025-22429 | A-373357090 | ID | गंभीर चेतावनी | 13, 14, 15 |
| CVE-2025-22416 | A-277207798 | ईओपी | ज़्यादा | 13, 14, 15 |
| CVE-2025-22417 | A-332277530 | ईओपी | ज़्यादा | 14, 15 |
| CVE-2025-22422 | A-339532378 [2] | ईओपी | ज़्यादा | 13, 14, 15 |
| CVE-2025-22434 | A-378900798 | ईओपी | ज़्यादा | 14, 15 |
| CVE-2025-22437 | A-317203980 | ईओपी | ज़्यादा | 13 |
| CVE-2025-22438 | A-343129193 | ईओपी | ज़्यादा | 13, 14 |
| CVE-2024-49722 | A-341688848 [2] | ID | ज़्यादा | 15 |
| CVE-2025-22421 | A-338024220 | ID | ज़्यादा | 13, 14, 15 |
| CVE-2025-22430 | A-374257207 | ID | ज़्यादा | 15 |
| CVE-2025-22431 | A-375623125 | डीओएस | ज़्यादा | 13, 14, 15 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट तरीके से विशेषाधिकारों को बढ़ाया जा सकता है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती. इसका गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2025-26416 | A-388480622 | ईओपी | गंभीर चेतावनी | 13, 14, 15 |
| CVE-2025-22423 | A-346797131 | डीओएस | गंभीर चेतावनी | 13, 14, 15 |
| CVE-2024-40653 | A-293458004 [2] [3] | ईओपी | ज़्यादा | 13, 14, 15 |
| CVE-2024-49720 | A-355411348 | ईओपी | ज़्यादा | 13, 14, 15 |
| CVE-2024-49730 | A-284989074 | ईओपी | ज़्यादा | 13, 14 |
| CVE-2025-22418 | A-333344157 | ईओपी | ज़्यादा | 13, 14 |
| CVE-2025-22419 | A-335387175 | ईओपी | ज़्यादा | 13, 14, 15 |
| CVE-2025-22427 | A-368579654 | ईओपी | ज़्यादा | 13, 14, 15 |
| CVE-2025-22428 | A-372671447 | ईओपी | ज़्यादा | 13, 14, 15 |
| CVE-2025-22433 | A-376674080 [2] | ईओपी | ज़्यादा | 13, 14, 15 |
| CVE-2025-22435 | A-273995284 | ईओपी | ज़्यादा | 13, 14, 15 |
| CVE-2025-22439 | A-352294617 | ईओपी | ज़्यादा | 13, 14, 15 |
| CVE-2024-49728 | A-296915500 | ID | ज़्यादा | 13, 14, 15 |
Google Play के सिस्टम अपडेट
प्रोजेक्ट मेनलाइन के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| सबकॉम्पोनेंट | CVE |
|---|---|
| Documents का यूज़र इंटरफ़ेस (यूआई) | CVE-2025-22439 |
| MediaProvider | CVE-2024-49730 |
| परमिशन कंट्रोलर | CVE-2024-49720 |
5 अप्रैल, 2025 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंकाओं की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 5 अप्रैल, 2025 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
कर्नेल
इस सेक्शन में मौजूद सबसे गंभीर कमज़ोरी की वजह से, स्थानीय स्तर पर विशेषाधिकारों को बढ़ाया जा सकता है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती. इसका गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2024-50264 | A-378870958
अपस्ट्रीम कर्नेल |
ईओपी | ज़्यादा | कुल |
| CVE-2024-53197 | A-382243530
अपस्ट्रीम कर्नल [2] |
ईओपी | ज़्यादा | यूएसबी |
| CVE-2024-56556 | A-380855429
अपस्ट्रीम कर्नल [2] |
ईओपी | ज़्यादा | बाइंडर |
| CVE-2024-53150 | A-382239029
अपस्ट्रीम कर्नल [2] |
ID | ज़्यादा | यूएसबी |
ग्रुप कॉम्पोनेंट
इस कमज़ोरी का असर Arm के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, सीधे तौर पर Arm से मिल सकती है. इस समस्या की गंभीरता का आकलन, सीधे तौर पर Arm करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2025-0050 |
A-384996147 * | ज़्यादा | माली |
इमैजिनेशन टेक्नोलॉजीज़
इन कमज़ोरियों का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे तौर पर Imagination Technologies से मिल सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Imagination Technologies करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-43702 |
A-363071287 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-43703 |
A-366410795 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-46972 |
A-374964509 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-47897 |
A-381272263 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-52936 |
A-380302155 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-52937 |
A-381273105 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-52938 |
A-380397760 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-47894 |
A-382770071 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-47895 |
A-380296167 * | ज़्यादा | PowerVR-GPU |
MediaTek कॉम्पोनेंट
इन कमज़ोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे MediaTek से मिल सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2025-20656 |
A-393950961
M-ALPS09625423 * |
ज़्यादा | DA |
| CVE-2025-20657 |
A-393950963
M-ALPS09486425 * |
ज़्यादा | vdec |
| CVE-2025-20658 |
A-393950964
M-ALPS09474894 * |
ज़्यादा | DA |
| CVE-2025-20655 |
A-393950958
M-DTV04427687 * |
ज़्यादा | Keymaster |
Qualcomm कॉम्पोनेंट
इन जोखिम की आशंकाओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी सूचना में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-43066 |
A-372003347
QC-CR#3731804 |
ज़्यादा | बूटलोडर |
| CVE-2024-49848 |
A-388048362
QC-CR#3908517 |
ज़्यादा | कर्नेल |
| CVE-2025-21429 |
A-388048166
QC-CR#3960857 [2] |
ज़्यादा | WLAN |
| CVE-2025-21430 |
A-388047866
QC-CR#3910625 [2] |
ज़्यादा | WLAN |
| CVE-2025-21434 |
A-388048345
QC-CR#3918068 |
ज़्यादा | WLAN |
| CVE-2025-21435 |
A-388047607
QC-CR#3924648 |
ज़्यादा | WLAN |
| CVE-2025-21436 |
A-388048322
QC-CR#3927062 |
ज़्यादा | कर्नेल |
Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट
इन जोखिमों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी सूचना में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-45551 |
A-372002538 * | गंभीर चेतावनी | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-33058 |
A-372002796 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-43065 |
A-372003122 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-45549 |
A-372002818 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-45552 |
A-372003503 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2025-21448 |
A-388048021 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद आम तौर पर पूछे जाने वाले सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि इन समस्याओं को ठीक करने के लिए मेरे डिवाइस को अपडेट किया गया है?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 1 अप्रैल, 2025 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
- 5 अप्रैल, 2025 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख और इससे पहले के सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
डिवाइस बनाने वाली कंपनियों को, इन अपडेट को शामिल करने के लिए पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2025-04-01]
- [ro.build.version.security_patch]:[2025-04-05]
Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play सिस्टम अपडेट में तारीख का ऐसा स्ट्रिंग होगा जो 1 अप्रैल, 2025 के सुरक्षा पैच लेवल से मेल खाता हो. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस बुलेटिन में सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल दिए गए हैं, ताकि Android पार्टनर को उन जोखिमों को ठीक करने में आसानी हो जो सभी Android डिवाइसों में एक जैसे हैं. Android पार्टनर को इस बुलेटिन में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 1 अप्रैल, 2025 का सुरक्षा पैच लेवल इस्तेमाल किया जाता है उनमें उस सुरक्षा पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं के समाधान भी शामिल होने चाहिए.
- 5 अप्रैल, 2025 या इसके बाद के सुरक्षा पैच लेवल का इस्तेमाल करने वाले डिवाइसों में, इस और पिछले सुरक्षा बुलेटिन में बताए गए सभी ज़रूरी पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करें जिन पर वे काम कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की आशंका की जानकारी देने वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की आशंकाओं की कैटगरी का रेफ़रंस देती है.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड एक्ज़ीक्यूशन |
| ईओपी | एलिवेशन ऑफ़ प्रिविलेज |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | कैटगरी उपलब्ध नहीं है |
4. References कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की आशंका की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, ऐसा प्रीफ़िक्स हो सकता है जिससे यह पता चलता हो कि रेफ़रंस वैल्यू किस संगठन से जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android में गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
जिन समस्याओं की जानकारी सार्वजनिक तौर पर उपलब्ध नहीं है उनके रेफ़रंस आईडी के बगल में * का निशान होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए उपलब्ध नए बाइनरी ड्राइवर में शामिल होता है. ये ड्राइवर, Google की डेवलपर साइट पर उपलब्ध होते हैं.
6. सुरक्षा से जुड़े जोखिम की आशंकाओं को इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन के बीच क्यों बांटा गया है? जैसे, Pixel का बुलेटिन?
इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी जोखिम की आशंकाओं के लिए, Android डिवाइसों पर नया 'सुरक्षा पैच लेवल' दिखाना ज़रूरी है. हालांकि, सुरक्षा पैच लेवल का एलान करने के लिए, सुरक्षा से जुड़े जोखिम की अन्य आशंकाओं के बारे में जानकारी देने की ज़रूरत नहीं है. जैसे कि डिवाइस / पार्टनर के सुरक्षा बुलेटिन में बताया गया है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी, अपने प्रॉडक्ट से जुड़ी सुरक्षा की कमज़ोरियों की जानकारी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 7 अप्रैल, 2025 | बुलेटिन पब्लिश किया गया |
| 1.1 | 8 अप्रैल, 2025 | AOSP के लिंक जोड़े गए |
| 1.2 | 22 अप्रैल, 2025 | CVE की अपडेट की गई टेबल |
| 1.3 | 25 फ़रवरी, 2026 | CVE की अपडेट की गई टेबल |