Android सुरक्षा बुलेटिन में सुरक्षा से जुड़े जोखिमों की जानकारी दी जाती है इसका असर Android डिवाइसों पर पड़ रहा है. 05-01-2022 या उसके बाद के सिक्योरिटी पैच लेवल इन सभी समस्याओं को हल करने के लिए. किसी डिवाइस के सिक्योरिटी पैच की जांच करने का तरीका जानने के लिए लेवल पर जाने के लिए, जांच करें और अपना Android वर्शन अपडेट करें.
Android पार्टनर को कम से कम एक महीने पहले पब्लिश किया जा चुका है. इन समस्याओं के लिए, सोर्स कोड पैच में को Android ओपन सोर्स प्रोजेक्ट (एओएसपी) डेटा स्टोर करने की जगह में रिलीज़ किया गया है और इस बुलेटिन से लिंक किया गया है. इस सूचना-पत्र में लिंक भी शामिल हैं AOSP के बाहर के पैच
इन समस्याओं में से सबसे गंभीर समस्या, Android में ज़्यादा सुरक्षा से जुड़े जोखिम की आशंका है रनटाइम कॉम्पोनेंट, जो किसी लोकल हमलावर को मेमोरी को बायपास करने में मदद कर सकता है पाबंदियां लगा दी हों, ताकि आपको अतिरिक्त अनुमतियों का ऐक्सेस मिल सके. कॉन्टेंट बनाने गंभीरता का आकलन इस बात पर आधारित है कि जोखिम की आशंका का फ़ायदा उठाना यह मानते हुए कि प्लैटफ़ॉर्म और सेवा से जुड़ी पाबंदियां बंद हैं, इस डिवाइस पर असर पड़ा है को बायपास किया जा सकता है या उन्हें बायपास किया जा सकता है.
इसके बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के खतरों को कम करने के मामलों वाले सेक्शन में, Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा सुविधाएं और Google Play Protect का इस्तेमाल करते हैं. इन सुविधाओं से, सुरक्षा को खतरा है.
Android और Google की सेवाओं पर होने वाले असर को कम करने की सुविधा
यहां उन खतरों के बारे में खास जानकारी दी गई है जिन्हें Android और सेवा सुरक्षा, जैसे कि सुरक्षा प्लैटफ़ॉर्म Google Play Protect. ये सुविधाएं, सुरक्षा से जुड़े जोखिमों की आशंका को कम करती हैं सही तरीके से इस्तेमाल किया जा सकता है.
- Android पर कई समस्याओं के लिए, गलत जानकारी खोजना और मुश्किल हो गया है: Android प्लैटफ़ॉर्म के नए वर्शन को बेहतर बनाया है. हमारा सुझाव है कि आप सभी उपयोगकर्ताओं को Android के नए वर्शन पर अपडेट करने की ज़रूरत नहीं है.
- Android सुरक्षा टीम, नीति के उल्लंघन पर लगातार नज़र रखती है. इसके लिए, Google Play Protect और उपयोगकर्ताओं को चेतावनी देता है संभावित रूप से नुकसान पहुंचाने वाले ऐप्लिकेशन. डिवाइस पर Google Play Protect डिफ़ॉल्ट रूप से चालू होता है Google मोबाइल सेवाओं के साथ करते हैं और खास तौर पर, यह उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी अन्य प्लैटफ़ॉर्म से ऐप्लिकेशन इंस्टॉल करते हैं.
01-01-2022 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंका की जानकारी
नीचे दिए गए सेक्शन में, हमने हर सुरक्षा के बारे में जानकारी दी है जो 01-01-2022 पैच लेवल पर लागू होते हैं. जोखिम की आशंकाएं हैं ग्रुप बनाया जा सकता है. समस्याओं की जानकारी टेबल में दी गई है और CVE आईडी, उससे जुड़ी रेफ़रंस, टाइप जोखिम की आशंका है. गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) भी उपलब्ध हैं. उपलब्ध होने पर, हम ऐसे सार्वजनिक बदलाव जो गड़बड़ी आईडी की समस्या को हल करते हैं, जैसे एओएसपी बदलाव सूची. जब किसी एक गड़बड़ी के बारे में कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस लिंक होते हैं डालें. Android 10 और उसके बाद के वर्शन वाले डिवाइसों पर और साथ ही Google Play के सिस्टम अपडेट.
फ़्रेमवर्क
इस सेक्शन में सबसे गंभीर जोखिम की आशंका, किसी स्थानीय नुकसान पहुंचाने वाले ऐसा ऐप्लिकेशन जिसका ऐक्सेस पाने के लिए, उपयोगकर्ता इंटरैक्शन की ज़रूरी शर्तों को बायपास करना हो अतिरिक्त अनुमतियां दी हैं.
| सीवीई | रेफ़रंस | टाइप | गंभीरता | अपडेट किए गए AOSP वर्शन |
|---|---|---|---|---|
| CVE-2021-39630 | A-202768292 | ईओपी | ज़्यादा | 12 |
| CVE-2021-39632 | A-202159709 | ईओपी | ज़्यादा | 11, 12 |
| CVE-2020-0338 | A-123700107 | आईडी | ज़्यादा | 9, 10 |
मीडिया फ़्रेमवर्क
इस सेक्शन में जोखिम की आशंका की वजह से, विशेष के साथ, ऐक्सेस करने के लिए कोई अतिरिक्त खास अधिकार या उपयोगकर्ता इंटरैक्शन की ज़रूरत नहीं होनी चाहिए.
| सीवीई | रेफ़रंस | टाइप | गंभीरता | अपडेट किए गए AOSP वर्शन |
|---|---|---|---|---|
| CVE-2021-39623 | A-194105348 | ईओपी | ज़्यादा | 9, 10, 11, 12 से |
सिस्टम
इस सेक्शन में सबसे गंभीर जोखिम की वजह से, स्थानीय वह खास हमलावर, उपयोगकर्ता की सहमति के बिना मौजूदा पैकेज इंस्टॉल कर सकता है.
| सीवीई | रेफ़रंस | टाइप | गंभीरता | अपडेट किए गए AOSP वर्शन |
|---|---|---|---|---|
| CVE-2021-39618 | A-196855999 * | ईओपी | ज़्यादा | 9, 10, 11, 12 से |
| CVE-2021-39620 | ए-203847542 | ईओपी | ज़्यादा | 11, 12 |
| CVE-2021-39621 | ए-185126319 | ईओपी | ज़्यादा | 9, 10, 11, 12 से |
| CVE-2021-39622 | A-192663648 * | ईओपी | ज़्यादा | 10, 11, 12 से |
| CVE-2021-39625 | A-194695347 * | ईओपी | ज़्यादा | 9, 10, 11, 12 से |
| CVE-2021-39626 | ए-194695497 | ईओपी | ज़्यादा | 9, 10, 11, 12 से |
| CVE-2021-39627 | ए-185126549 | ईओपी | ज़्यादा | 9, 10, 11, 12 से |
| CVE-2021-39629 | ए-197353344 | ईओपी | ज़्यादा | 9, 10, 11, 12 से |
| CVE-2021-0643 | A-183612370 | आईडी | ज़्यादा | 10, 11, 12 से |
| CVE-2021-39628 | ए-189575031 | आईडी | ज़्यादा | 10, 11 से |
| CVE-2021-39659 | ए-208267659 | डीओएस | ज़्यादा | 10, 11, 12 से |
Google Play के सिस्टम अपडेट
Google Play के सिस्टम अपडेट में सुरक्षा से जुड़ी किसी भी समस्या को हल नहीं किया गया है (प्रोजेक्ट Mainline) के लिए इस महीने.
05-01-2022 के लिए सुरक्षा पैच लेवल से जुड़ा जोखिम विवरण
नीचे दिए गए सेक्शन में, हमने हर सुरक्षा के बारे में जानकारी दी है जो 05-01-2022 पैच लेवल पर लागू होती हैं. जोखिम की आशंकाएं हैं ग्रुप बनाया जा सकता है. समस्याओं की जानकारी टेबल में दी गई है और CVE आईडी, उससे जुड़ी रेफ़रंस, टाइप जोखिम की आशंका है. गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) भी उपलब्ध हैं. उपलब्ध होने पर, हम लोगों को Google से लिंक करते हैं में बदला जा सकता है, जो गड़बड़ी आईडी की समस्या को हल करता है, जैसे एओएसपी बदलाव सूची. जब किसी एक गड़बड़ी के बारे में कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस लिंक होते हैं डालें.
Android रनटाइम
इस सेक्शन में मौजूद जोखिम की वजह से, कोई स्थानीय हमलावर बायपास कर सकता है मेमोरी पर पाबंदियां लगाई गई हैं, ताकि अतिरिक्त अनुमतियों का ऐक्सेस मिल सके.
| सीवीई | रेफ़रंस | टाइप | गंभीरता | अपडेट किए गए AOSP वर्शन |
|---|---|---|---|---|
| CVE-2021-0959 | A-200284993 | ईओपी | ज़्यादा | 12 |
कर्नेल कॉम्पोनेंट
इस सेक्शन में सबसे गंभीर जोखिम की आशंका की वजह से, स्थानीय रेस की स्थिति की वजह से खास अधिकारों को आगे बढ़ाना. इसके अलावा, प्रोग्राम चलाने के लिए मिलने वाले खास अधिकार या उपयोगकर्ता इंटरैक्शन की ज़रूरत होती है.
| सीवीई | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2021-39634 | A-204450605 अपस्ट्रीम कर्नेल |
ईओपी | ज़्यादा | कर्नेल |
| CVE-2021-39633 | A-150694665 अपस्ट्रीम कर्नेल |
आईडी | ज़्यादा | कर्नेल |
कर्नेल एलटीएस
कर्नेल के नीचे दिए गए वर्शन अपडेट कर दिए गए हैं.
| रेफ़रंस | Android का लॉन्च वर्शन | Kernel लॉन्च वर्शन | कम से कम लॉन्च वर्शन |
|---|---|---|---|
| ए-182179492 | 11 | 5.4 | 5.4.86 |
MediaTek कॉम्पोनेंट
इन जोखिमों से MediaTek कॉम्पोनेंट पर असर पड़ सकता है. साथ ही, ज़्यादा जानकारी के लिए यह सुविधा सीधे MediaTek से उपलब्ध है. इन समस्याओं की गंभीरता का आकलन यह है यह सुविधा सीधे MediaTek ने उपलब्ध कराई है.
| सीवीई | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2021-31345 | A-207693368 M- MOLY00756840 * |
ज़्यादा | मॉडम (Nucleus NET टीसीपी/आईपी) |
| CVE-2021-31346 | A-207646334 M-MOLY00756840 * |
ज़्यादा | मॉडम (Nucleus NET टीसीपी/आईपी) |
| CVE-2021-31890 | A-207646336 M-MOLY00756840 * |
ज़्यादा | मॉडम (Nucleus NET टीसीपी/आईपी) |
| CVE-2021-40148 | A-204728248 M-MOLY00716585 * |
ज़्यादा | मॉडम ईएमएम |
| CVE-2021-31889 | A-207646335 M-MOLY00756840 * |
ज़्यादा | मॉडम (Nucleus NET टीसीपी/आईपी) |
Unisoc कॉम्पोनेंट
इस जोखिम की वजह से Unisoc के कॉम्पोनेंट पर असर पड़ता है. इस बारे में ज़्यादा जानकारी उपलब्ध है सीधे Unisoc से. इस समस्या की गंभीरता का आकलन सीधे तौर पर दिया जाता है Unisoc ने बनाया.
| सीवीई | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2021-1049 | A-204256722 U-1733219 * |
ज़्यादा | स्लोगमोडेम |
Qualcomm के कॉम्पोनेंट
इन जोखिमों से Qualcomm के कॉम्पोनेंट पर असर पड़ता है. इनके बारे में आगे बताया गया है उचित Qualcomm सुरक्षा बुलेटिन या सुरक्षा चेतावनी में पूरी जानकारी दी गई हो. इन समस्याओं की गंभीरता का आकलन, सीधे Qualcomm के ज़रिए किया जाता है.
| सीवीई | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2021-30319 | A-202025735 क्यूसी-सीआर#2960714 |
ज़्यादा | डब्ल्यूलैन |
| CVE-2021-30353 | A-202025599 QC-CR#2993069 [2] |
ज़्यादा | ऑडियो |
Qualcomm क्लोज़्ड-सोर्स कॉम्पोनेंट
इन जोखिमों की वजह से, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर असर पड़ता है. इनके बारे में जानकारी दी गई है उचित Qualcomm सुरक्षा बुलेटिन या सुरक्षा में और ज़्यादा जानकारी दी गई हो सूचना. इन समस्याओं की गंभीरता का आकलन, सीधे Qualcomm के ज़रिए किया जाता है.
| सीवीई | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2021-30285 | A-193070555 * | सबसे अहम | क्लोज़्ड सोर्स कॉम्पोनेंट |
| CVE-2021-30287 | A-193070556 * | ज़्यादा | क्लोज़्ड सोर्स कॉम्पोनेंट |
| CVE-2021-30300 | A-193071116 * | ज़्यादा | क्लोज़्ड सोर्स कॉम्पोनेंट |
| CVE-2021-30301 | A-193070342 * | ज़्यादा | क्लोज़्ड सोर्स कॉम्पोनेंट |
| CVE-2021-30307 | A-193070700 * | ज़्यादा | क्लोज़्ड सोर्स कॉम्पोनेंट |
| CVE-2021-30308 | A-193070594 * | ज़्यादा | क्लोज़्ड सोर्स कॉम्पोनेंट |
| CVE-2021-30311 | A-193070557 * | ज़्यादा | क्लोज़्ड सोर्स कॉम्पोनेंट |
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, उन आम सवालों के जवाब दिए गए हैं जो इसे पढ़ने के बाद दिख सकते हैं बुलेटिन.
1. मैं कैसे पता करूं कि इन समस्याओं को ठीक करने के लिए, मेरा डिवाइस अपडेट है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-01-2022 या इसके बाद के सिक्योरिटी पैच लेवल, सभी समस्याओं को ठीक करते हैं जो 2022-01-01 सिक्योरिटी पैच लेवल से जुड़ा है.
- 05-01-2022 या इसके बाद के सिक्योरिटी पैच लेवल, संबंधित सभी समस्याओं को ठीक करते हैं जिसमें 2022-01-05 सिक्योरिटी पैच लेवल और पिछले सभी पैच लेवल हों.
जिन डिवाइस मैन्युफ़ैक्चरर में ये अपडेट शामिल हैं उन्हें पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[01-01-2022]
- [ro.build.version.security_patch]:[05-01-2022]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों पर, Google Play का सिस्टम अपडेट तारीख की स्ट्रिंग, 2022-01-01 सिक्योरिटी पैच लेवल से मेल खाती है. कृपया देखें यह लेख पढ़ें.
2. इस बुलेटिन में दो सुरक्षा पैच लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं. इससे Android पार्टनर, जोखिम की आशंकाओं के सबसेट को ज़्यादा तेज़ी से ठीक कर सकते हैं. Android पार्टनर को इस बुलेटिन में दी गई सभी समस्याओं को ठीक करने और सबसे नए सुरक्षा पैच लेवल का इस्तेमाल करने की सलाह दी जाती है.
- जिन डिवाइसों में 01-01-2022 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जा रहा है उनमें सभी उस सुरक्षा पैच स्तर से संबंधित समस्याएँ, और सुरक्षा से जुड़े पिछले बुलेटिन में बताई गई सभी समस्याओं के बारे में बताएं.
- जिन डिवाइसों में 05-01-2022 या इसके बाद के सुरक्षा पैच लेवल का इस्तेमाल किया गया है उन्हें यह ज़रूरी है इस (और पिछले) सुरक्षा बुलेटिन में लागू होने वाले सभी पैच शामिल करें.
पार्टनर को सलाह दी जाती है कि वे अपनी सभी समस्याओं को एक साथ ठीक कर लें समस्या को हल करने में मदद मिलती है.
3. टाइप कॉलम में दी गई एंट्री का क्या मतलब है?
जोखिम की आशंका की जानकारी वाली टेबल के टाइप कॉलम में एंट्री में सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताया गया हो.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड इस्तेमाल करना |
| ईओपी | खास अधिकारों से जुड़ी शर्तें |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा अस्वीकार की गई |
| लागू नहीं | वर्गीकरण उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में दी गई जानकारी का क्या मतलब है?
जोखिम की आशंका की जानकारी के रेफ़रंस कॉलम में मौजूद एंट्री तालिका में उस संगठन की पहचान करने वाला कोई उपसर्ग हो सकता है, जिससे संदर्भ दिया गया है मान संबंधित है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android बग आईडी |
| क्यूसी- | Qualcomm रेफ़रंस नंबर |
| पु॰- | MediaTek रेफ़रंस नंबर |
| नहीं- | NVIDIA का रेफ़रंस नंबर |
| B- | ब्रॉडकॉम रेफ़रंस नंबर |
| यू- | UNISOC रेफ़रंस नंबर |
5. Android की गड़बड़ी के आईडी के बगल में मौजूद * रेफ़रंस कॉलम का क्या मतलब है?
जो समस्याएं सार्वजनिक तौर पर उपलब्ध नहीं हैं उनसे जुड़ी समस्याओं के आगे * लगा होगा रेफ़रंस आईडी चुनें. इस समस्या का अपडेट आम तौर पर सबसे नए Pixel डिवाइसों के लिए बाइनरी ड्राइवर, Google डेवलपर साइट.
6. इस बुलेटिन और रिपोर्ट के बीच, सुरक्षा से जुड़े जोखिम की आशंकाएं अलग-अलग क्यों हैं डिवाइस / पार्टनर की सुरक्षा से जुड़े बुलेटिन, जैसे कि Pixel बुलेटिन?
इस सुरक्षा बुलेटिन में जिन सुरक्षा जोखिमों के बारे में बताया गया है, वे Android डिवाइसों पर सबसे नए सुरक्षा पैच लेवल की जानकारी देना ज़रूरी है. डिवाइस / पार्टनर में दस्तावेज़ित अतिरिक्त सुरक्षा जोखिम सुरक्षा पैच लेवल का एलान करने के लिए, सुरक्षा बुलेटिन की ज़रूरत नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी, सुरक्षा से जुड़ी जानकारी पब्लिश कर सकती हैं अपने प्रॉडक्ट से जुड़े जोखिम की आशंकाओं की जानकारी, जैसे कि Google, हुआवे, एलजीई, Motorola, Nokia, या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 4 जनवरी, 2022 | बुलेटिन रिलीज़ किया गया |
| 1.1 | 5 जनवरी, 2022 | एओएसपी लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया |
| 2.0 | 10 जनवरी, 2022 | अपडेट की गई सीवीई टेबल |