Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. सुरक्षा पैच के लेवल 05-11-2024 या उसके बाद के वर्शन में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना देखें.
Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए, सोर्स कोड पैच को Android OpenSource Project (AOSP) के डेटा स्टोर करने की जगह में रिलीज़ कर दिया गया है और उसे इस बुलेटिन से लिंक किया गया है. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ी गंभीर समस्या है. इसकी वजह से, रिमोट कोड प्रोग्राम चलाया जा सकता है. इसके लिए, प्रोग्राम चलाने से जुड़ी अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. गंभीर समस्या का आकलन, इस बात पर आधारित होता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने वाली सुविधाएं बंद हैं या नहीं या फिर उन्हें बाईपास कर दिया गया है.
Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए खतरों को कम करने वाले सेक्शन पर जाएं. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect से मिलने वाले सुरक्षा उपायों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन को बेहतर बनाने की वजह से, Android पर कई समस्याओं का पता लगाना और भी आसान हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा, किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.
01-11-2024 का सुरक्षा पैच लेवल सुरक्षा से जुड़ी समस्या की जानकारी
नीचे दिए गए सेक्शन में, हमने 01-11-2024 के पैच लेवल पर लागू होने वाले, सुरक्षा से जुड़े हर जोखिम की जानकारी दी है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट और Google Play के सिस्टम अपडेट भी मिल सकते हैं.
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.
| सीवीई | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2024-40660 | A-347307756 [2] | ईओपी | ज़्यादा | 14, 15 |
| CVE-2024-43081 | A-341256043 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43085 | A-353712853 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43093 | A-341680936 | EoP | ज़्यादा | 12, 13, 14, 15 |
| CVE-2024-43082 | A-296915959 | आईडी | ज़्यादा | 12, 12L |
| CVE-2024-43084 | A-281044385 | आईडी | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43086 | A-343440463 | आईडी | ज़्यादा | 12, 12L, 13, 14, 15 |
सिस्टम
इस सेक्शन में सबसे गंभीर जोखिम की वजह से रिमोट कोड लागू हो सकता है और इसके लिए किसी दूसरे एक्ज़ीक्यूशन की ज़रूरत नहीं पड़ सकती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2024-43091 | A-344620577 | आरसीई | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-29779 | A-329701910 | EoP | ज़्यादा | 14 |
| CVE-2024-34719 | A-242996380 | EoP | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-40661 | A-308138085 | EoP | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-43080 | A-330722900 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43087 | A-353700779 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43088 | A-326057017 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43089 | A-304280682 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43090 | A-331180422 | आईडी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-43083 | ए-348352288 | डीओएस | ज़्यादा | 12, 12L, 13, 14, 15 |
Google Play के सिस्टम अपडेट
Project Mainline घटकों में नीचे दी गई समस्याएं शामिल हैं.
| सब-कॉम्पोनेंट | CVE |
|---|---|
| Documents का यूज़र इंटरफ़ेस (यूआई) | CVE-2024-43093 |
| मीडिया प्रोवाइडर | CVE-2024-43089 |
| अनुमति कंट्रोलर | CVE-2024-40661 |
| वाई-फ़ाई | CVE-2024-43083 |
05-11-2024 सुरक्षा पैच के लेवल से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 05-11-2024 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
कर्नेल
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.
| सीवीई | रेफ़रंस | टाइप | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2024-36978 |
A-349777785
अपस्ट्रीम कर्नेल [2] |
EoP | ज़्यादा | कुल |
| CVE-2024-46740 |
A-352520660
अपस्ट्रीम कर्नेल [2] [3] [4] [5] [6] [7] [8] |
ईओपी | ज़्यादा | बाइंडर |
Kernel LTS
इन कर्नेल वर्शन को अपडेट कर दिया गया है. कर्नेल वर्शन के अपडेट, डिवाइस के लॉन्च के समय Android OS के वर्शन पर निर्भर करते हैं.
| रेफ़रंस | Android का लॉन्च वर्शन | Kernel का लॉन्च वर्शन | अपडेट का कम से कम वर्शन |
|---|---|---|---|
| A-348473863 | 12 | 5.4 | 5.4.274 |
| A-348681334 | 12 | 4.19 | 4.19.312 |
Imagination Technologies
इन कमजोरियों का असर, Imagination Technologies के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Imagination Technologies से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Imagination Technologies करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-34747 |
A-346643520 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-40671 |
A-355477536 * | ज़्यादा | PowerVR-GPU |
Imagination Technologies
इन कमजोरियों का असर, Imagination Technologies के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Imagination Technologies से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Imagination Technologies करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2023-35659 |
A-350006107 * | ज़्यादा | PowerVR-GPU |
| CVE-2023-35686 |
A-350527097 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-23715 |
A-350530745 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-31337 |
A-337944529 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-34729 |
A-331437862 * | ज़्यादा | PowerVR-GPU |
MediaTek कॉम्पोनेंट
इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-20104 |
A-363850556
M-ALPS09073261 * |
ज़्यादा | डीए |
| CVE-2024-20106 |
A-363849996
M-ALPS08960505 * |
ज़्यादा | एम4यू |
Qualcomm के कॉम्पोनेंट
ये जोखिम, Qualcomm के कॉम्पोनेंट पर असर डालते हैं. इनके बारे में Qualcomm के सुरक्षा से जुड़े बुलेटिन या सुरक्षा से जुड़ी चेतावनी में ज़्यादा जानकारी दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| सीवीई | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-21455 |
A-357616450
QC-CR#3839449 [2] QC-CR#3875202 [2] |
ज़्यादा | कर्नेल |
| CVE-2024-38402 |
A-364017423
QC-CR#3890158 |
ज़्यादा | कर्नेल |
| CVE-2024-38405 |
A-357615761
QC-CR#3754687 |
ज़्यादा | WLAN |
| CVE-2024-38415 |
A-357616194
QC-CR#3775520 [2] |
ज़्यादा | कैमरा |
| CVE-2024-38421 |
A-357616018
QC-CR#3793941 |
ज़्यादा | डिसप्ले |
| CVE-2024-38422 |
A-357616000
QC-CR#3794268 [2] [3] |
ज़्यादा | ऑडियो |
| CVE-2024-38423 |
A-357615775
QC-CR#3799033 |
ज़्यादा | डिसप्ले |
| CVE-2024-43047 |
A-364017103
QC-CR#3883647 |
ज़्यादा | कर्नेल |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-38408 |
A-357615875 * | सबसे अहम | क्लोज़्ड सोर्स कॉम्पोनेंट |
| CVE-2024-23385 |
A-339043003 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-38403 |
A-357615948 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-38424 |
A-357616230 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-11-2024 या इसके बाद के सिक्योरिटी पैच लेवल, 01-11-2024 सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं का समाधान करते हैं.
- 05-11-2024 या इसके बाद के सिक्योरिटी पैच लेवल, 05-11-2024 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने इन अपडेट को शामिल किया है उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[01-11-2024]
- [ro.build.version.security_patch]:[2024-11-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-11-2024 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों पर एक जैसे जोखिमों के सबसेट को ज़्यादा तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-11-2024 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 05-11-2024 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| ईओपी | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | वर्गीकरण उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से उपलब्ध होते हैं.
6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को इस सूचना और डिवाइस/पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel की सूचना के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर नए सिक्योरिटी पैच लेवल का एलान किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस / पार्टनर के सुरक्षा बुलेटिन में सुरक्षा से जुड़े दूसरे जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 4 नवंबर, 2024 | बुलेटिन पब्लिश हो गया. |