Android सुरक्षा बुलेटिन—अप्रैल 2019

1 अप्रैल 2019 को प्रकाशित | 3 अप्रैल 2019 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। 2019-04-05 या बाद के सुरक्षा पैच स्तर इन सभी मुद्दों को संबोधित करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण जांचें और अपडेट करें देखें.

प्रकाशन से कम से कम एक महीने पहले Android भागीदारों को सभी मुद्दों के बारे में सूचित किया जाता है। इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपोजिटरी में जारी किए गए हैं और इस बुलेटिन से जुड़े हुए हैं। इस बुलेटिन में एओएसपी के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में सबसे गंभीर मीडिया ढांचे में एक महत्वपूर्ण सुरक्षा भेद्यता है जो एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकता है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या सफलतापूर्वक बायपास कर दिया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए Android और Google Play प्रोटेक्ट मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

नोट: Google उपकरणों के लिए नवीनतम ओवर-द-एयर अपडेट (OTA) अपडेट और फ़र्मवेयर इमेज की जानकारी अप्रैल 2019 पिक्सेल अपडेट बुलेटिन में उपलब्ध है।

Android और Google सेवा में कमी

यह Android सुरक्षा प्लेटफ़ॉर्म और Google Play Protect जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play Protect के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play Protect Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम होता है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।

2019-04-01 सुरक्षा पैच स्तर की भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2019-04-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के अंतर्गत वर्गीकृत किया जाता है। समस्या का विवरण और सीवीई, संबंधित संदर्भ, भेद्यता के प्रकार , गंभीरता , और अद्यतन एओएसपी संस्करण (जहां लागू हो) के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

रूपरेखा

इस खंड में भेद्यता एक स्थानीय हमलावर को उपयोगकर्ता सहभागिता के साथ अतिरिक्त अनुमतियां प्राप्त करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2019-2026 ए-120866126 * ईओपी उच्च 8.0

मीडिया ढांचा

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2019-2027 ए-119120561 आरसीई नाजुक 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
सीवीई-2019-2028 ए-120644655 आरसीई नाजुक 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

व्यवस्था

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2019-2030 ए-119496789 ईओपी उच्च 9
सीवीई-2019-2031 ए-120502559 ईओपी उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
सीवीई-2019-2033 ए-121327565 [ 2 ] ईओपी उच्च 9
सीवीई-2019-2034 ए-122035770 ईओपी उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
सीवीई-2019-2035 ए-122320256 ईओपी उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
सीवीई-2019-2038 ए-121259048 पहचान उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
सीवीई-2019-2039 ए-121260197 पहचान उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
सीवीई-2019-2040 ए-122316913 पहचान उच्च 9

2019-04-05 सुरक्षा पैच स्तर की भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2019-04-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत वर्गीकृत किया जाता है जो वे प्रभावित करते हैं और इसमें सीवीई, संबद्ध संदर्भ, भेद्यता के प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

व्यवस्था

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2019-2029 ए-120612744 आरसीई नाजुक 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
सीवीई-2019-2032 ए-121145627 ईओपी उच्च 8.0, 8.1, 9
सीवीई-2019-2041 ए-122034690 [ 2 ] [ 3 ] ईओपी उच्च 8.1, 9
सीवीई-2019-2037 ए-119870451 पहचान उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

क्वालकॉम घटक

ये भेद्यताएं क्वालकॉम घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम सुरक्षा बुलेटिन या सुरक्षा चेतावनी में और अधिक विस्तार से वर्णित हैं। इनमें से अधिकांश सुधार 2018 में जारी क्वालकॉम सुरक्षा बुलेटिन में पाए जा सकते हैं। इन मुद्दों का गंभीरता मूल्यांकन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2018-11940 ए-79377832
क्यूसी-सीआर#2254946
एन/ए नाजुक WLAN होस्ट
सीवीई-2017-17772 ए-72957385
क्यूसी-सीआर#2153003 [ 2 ]
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11294 ए-109741680
क्यूसी-सीआर#2197481
एन/ए उच्च WLAN होस्ट
सीवीई-2018-5855 ए-77527719
क्यूसी-सीआर#2193421
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11299 ए-109741946
क्यूसी-सीआर#2186953
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11826 ए-111127853
क्यूसी-सीआर#2205957
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11827 ए-111128575
क्यूसी-सीआर#2206569
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11840 ए-111126050
क्यूसी-सीआर#2215443
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11851 ए-111125792
क्यूसी-सीआर#2221902
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11860 ए-111128301
क्यूसी-सीआर#2225113
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11868 ए-111128420
क्यूसी-सीआर#2227248
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11869 ए-111128838
क्यूसी-सीआर#2227263
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11878 ए-111128797
क्यूसी-सीआर#2228608
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11889 ए-111128421
क्यूसी-सीआर#2230998
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11891 ए-111128578
क्यूसी-सीआर#2231767
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11894 ए-111127989
क्यूसी-सीआर#2232358
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11895 ए-111128877
क्यूसी-सीआर#2232542
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11897 ए-111128841
क्यूसी-सीआर#2233033
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11902 ए-111126532
क्यूसी-सीआर#2225604
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11904 ए-111125111
क्यूसी-सीआर#2215446
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11905 ए-112277221
क्यूसी-सीआर#2146878
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11923 ए-112276863
क्यूसी-सीआर#2224443
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11924 ए-112278150
क्यूसी-सीआर#2224451
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11925 ए-112277910
क्यूसी-सीआर#2226375 [ 2 ]
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11927 ए-112277186
क्यूसी-सीआर#2227076
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11930 ए-112278861
क्यूसी-सीआर#2231770
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11937 ए-112277891
क्यूसी-सीआर#2245944
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11949 ए-112278405
क्यूसी-सीआर#2249815
एन/ए उच्च WLAN होस्ट
सीवीई-2018-11953 ए-112277852
क्यूसी-सीआर#2235576
एन/ए उच्च WLAN होस्ट
सीवीई-2018-13920 ए-120487136 *
क्यूसी-सीआर#2293841
एन/ए उच्च गुठली

क्वालकॉम बंद-स्रोत घटक

ये भेद्यताएं क्वालकॉम घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम सुरक्षा बुलेटिन या सुरक्षा चेतावनी में और अधिक विस्तार से वर्णित हैं। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2018-11271 ए-120487384 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2018-11976 ए-117119000 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2018-1204 ए-117118976 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2018-13886 ए-117118295 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2018-13887 ए-117119172 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2019-2250 ए-122473270 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2018-11291 ए-109678120 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11821 ए-111093019 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11822 ए-111092813 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11828 ए-111089816 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11849 ए-111092945 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11850 ए-111092919 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11853 ए-111091938 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11854 ए-111093762 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11856 ए-111093242 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11859 ए-111090373 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11861 ए-111092814 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11862 ए-111093763 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11867 ए-111093243 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11870 ए-111089817 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11871 ए-111092400 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11872 ए-111090534 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11873 ए-111091378 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11874 ए-111092946 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11875 ए-111093022 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11876 ए-111093244 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11877 ए-111092888 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11879 ए-111093280 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11880 ए-111092401 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11882 ए-111093259 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11884 ए-111090535 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11928 ए-112279580 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11936 ए-112279127 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11967 ए-119049704 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11967 ए-119052960 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-11968 ए-114042276 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-1205 ए-117118499 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-12012 ए-117119174 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-12013 ए-117119152 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-13885 ए-117118789 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-13895 ए-122472377 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2018-13925 ए-120483842 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2019-2244 ए-122472139 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2019-2245 ए-122473145 * एन/ए उच्च बंद स्रोत घटक

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण जांचें और अपडेट करें देखें.

  • 2019-04-01 या बाद के सुरक्षा पैच स्तर 2019-04-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2019-04-05 या बाद के सुरक्षा पैच स्तर 2019-04-05 सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2019-04-01]
  • [ro.build.version.security_patch]:[2019-04-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि Android भागीदारों के पास कमजोरियों के एक सबसेट को ठीक करने की सुविधा हो जो सभी Android उपकरणों में अधिक तेज़ी से समान हो। Android भागीदारों को इस बुलेटिन में सभी समस्याओं को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • 2019-04-01 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान शामिल होने चाहिए।
  • 2019-04-05 या नए के सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।

भागीदारों को उन सभी समस्याओं के समाधान को बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे एक ही अद्यतन में संबोधित कर रहे हैं।

3. टाइप कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियां सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षेपाक्षर परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उन्नयन
पहचान जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन/ए वर्गीकरण उपलब्ध नहीं है

4. सन्दर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
क्यूसी- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

5. संदर्भ कॉलम में Android बग आईडी के आगे * का क्या अर्थ है?

जो समस्याएं सार्वजनिक रूप से उपलब्ध नहीं हैं उनमें संदर्भ कॉलम में Android बग आईडी के आगे एक * होता है। उस समस्या के लिए अद्यतन आम तौर पर Google डेवलपर साइट से उपलब्ध पिक्सेल उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

6. सुरक्षा कमजोरियों को इस बुलेटिन और डिवाइस/पार्टनर सुरक्षा बुलेटिन, जैसे कि Pixel बुलेटिन के बीच क्यों विभाजित किया गया है?

इस सुरक्षा बुलेटिन में प्रलेखित सुरक्षा भेद्यताएं Android उपकरणों पर नवीनतम सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक हैं। सुरक्षा पैच स्तर घोषित करने के लिए डिवाइस/पार्टनर सुरक्षा बुलेटिन में प्रलेखित अतिरिक्त सुरक्षा भेद्यताएं आवश्यक नहीं हैं। एंड्रॉइड डिवाइस और चिपसेट निर्माताओं को सैमसंग , एलजीई , या पिक्सेल सुरक्षा बुलेटिन जैसी अपनी सुरक्षा वेबसाइटों के माध्यम से अपने उपकरणों पर अन्य सुधारों की उपस्थिति का दस्तावेजीकरण करने के लिए प्रोत्साहित किया जाता है।

संस्करणों

संस्करण दिनांक टिप्पणियाँ
1.0 1 अप्रैल 2019 बुलेटिन प्रकाशित
1.1 3 अप्रैल 2019 AOSP लिंक्स को शामिल करने के लिए संशोधित बुलेटिन