पब्लिश करने की तारीख: 3 सितंबर, 2019 | अपडेट करने की तारीख: 5 सितंबर, 2019
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-09-2019 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को सभी समस्याओं की सूचना, पब्लिकेशन से कम से कम एक महीने पहले दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ किए गए हैं और इस सूचना से लिंक किए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, मीडिया फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. गंभीरता का आकलन इस बात पर आधारित होता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने वाली सुविधाएं बंद हैं या नहीं या उन्हें बाईपास कर दिया गया है.
हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा से जुड़ी सुविधाएं सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect की मदद से, इस तरह के हमलों को कम करने के तरीकों के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा, किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.
01-09-2019 के सिक्योरिटी पैच लेवल की कमज़ोरी की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-09-2019 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. जब उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2019-2123 | A-34175893 [2] [3] [4] | EoP | ज़्यादा | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2174 | A-132927376 | EoP | ज़्यादा | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2175 | A-135551349 | EoP | ज़्यादा | 9 |
| CVE-2019-9254 | A-130164289 | EoP | ज़्यादा | 10 |
| CVE-2019-2103 | A-120610669 [2] | आईडी | ज़्यादा | 9 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2019-2176 | A-134420911 | आरसीई | सबसे अहम | 8.0, 8.1, 9 |
| CVE-2019-2108 | A-130025324 | आरसीई | सबसे अहम | 10 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमलावर किसी खास तरीके से तैयार किए गए ट्रांसमिशन का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2019-2177 | A-132456322 | आरसीई | ज़्यादा | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2115 | A-129768470 [2] | EoP | ज़्यादा | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2178 | A-124462242 | EoP | ज़्यादा | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2179 | A-126200054 | आईडी | ज़्यादा | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2180 | A-110899492 | आईडी | ज़्यादा | 8.0, 8.1, 9 |
| CVE-2019-2124 | A-127320867 [2] [3] | आईडी | ज़्यादा | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
05-09-2019 को सुरक्षा पैच के लेवल पर मौजूद जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-09-2019 के पैच लेवल पर लागू होती हैं. जोखिम की संभावनाओं को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनका असर पड़ता है. इनमें CVE, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, कॉम्पोनेंट (जहां लागू हो), और अपडेट किए गए AOSP वर्शन (जहां लागू हो) जैसी जानकारी शामिल होती है. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो बग आईडी के बाद के नंबर से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2018-20669 | A-135368228* | EoP | ज़्यादा | i915 ड्राइवर |
| CVE-2019-2181 | A-130571081 अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | बाइंडर ड्राइवर |
NVIDIA के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2018-6240 | A-72315181* | EoP | ज़्यादा | BootROM |
| CVE-2018-6240 | A-110169243* | EoP | ज़्यादा | BootROM |
| CVE-2017-5715 | A-73294344* | आईडी | ज़्यादा | ARM Trusted Firmware |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-17768 | A-67748905 QC-CR#2127172 |
लागू नहीं | ज़्यादा | LK बूटलोडर |
| CVE-2019-2283 | A-127513124 QC-CR#2355425 |
लागू नहीं | ज़्यादा | कर्नेल |
| CVE-2019-2316 | A-129848922 QC-CR#2358397 |
लागू नहीं | ज़्यादा | एचएलओएस |
| CVE-2019-10491 | A-132171785 QC-CR#2380709 [2] |
लागू नहीं | ज़्यादा | ऑडियो |
| CVE-2019-10505 | A-123533258 QC-CR#2231755 |
लागू नहीं | ज़्यादा | WLAN HOST |
| CVE-2019-10505 | A-132171579 QC-CR#2246426 |
लागू नहीं | ज़्यादा | WLAN HOST |
| CVE-2019-2323 | A-132173424 QC-CR#2370589 |
लागू नहीं | ज़्यादा | एचएलओएस |
| CVE-2019-2324 | A-132173296 QC-CR#2372292 |
लागू नहीं | ज़्यादा | ऑडियो |
| CVE-2019-2325 | A-132171784 QC-CR#2372302 [2] |
लागू नहीं | ज़्यादा | ऑडियो |
| CVE-2019-2331 | A-132172905 QC-CR#2380697 [2] |
लागू नहीं | ज़्यादा | ऑडियो |
| CVE-2019-2332 | A-132171963 QC-CR#2380699 [2] |
लागू नहीं | ज़्यादा | ऑडियो |
| CVE-2019-10512 | A-134439528 QC-CR#2380702 [2] |
लागू नहीं | ज़्यादा | ऑडियो |
| CVE-2019-10515 | A-134440011 QC-CR#2366038 [2] |
लागू नहीं | ज़्यादा | कर्नेल |
| CVE-2019-10524 | A-134440735 QC-CR#2422233 [2] [3] |
लागू नहीं | ज़्यादा | कैमरा ड्राइवर |
| CVE-2019-10529 | A-134439992 QC-CR#2442261 |
लागू नहीं | ज़्यादा | ग्राफ़िक ड्राइवर |
| CVE-2019-10531 | A-134441415 QC-CR#2402890 [2] |
लागू नहीं | ज़्यादा | कर्नेल |
| CVE-2018-11891 | A-134440013 QC-CR#2288859 |
लागू नहीं | ज़्यादा | WLAN HOST |
Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2019-2258 | A-123998354* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10533 | A-134437210* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-2275 | A-127347579* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-2246 | A-127347339* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10488 | A-132108617* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10495 | A-132108855* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10496 | A-132108737* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-2249 | A-132108854* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-2285 | A-132109149* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10504 | A-134437132* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10504 | A-134437173* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10522 | A-134437134* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10534 | A-134437379* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10541 | A-134437115* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-09-2019 या उसके बाद के सुरक्षा पैच लेवल, 01-09-2019 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 05-09-2019 या उसके बाद के सुरक्षा पैच लेवल, 05-09-2019 के सुरक्षा पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2019-09-01]
- [ro.build.version.security_patch]:[2019-09-05]
2. इस सूचना में सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-09-2019 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 05-09-2019 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए, सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध न होने वाली समस्याओं के लिए, रेफ़रंस कॉलम में Android बग आईडी के बगल में * का निशान दिखता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से उपलब्ध होते हैं.
6. सुरक्षा से जुड़ी समस्याओं को इस सूचना और डिवाइस / पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सुरक्षा पैच का नया लेवल तय किया जाता है. सुरक्षा से जुड़ी अतिरिक्त जोखिम, डिवाइस और पार्टनर के सुरक्षा बुलेटिन में दर्ज किए जाते हैं. हालांकि, सुरक्षा पैच लेवल का एलान करने के लिए, इन जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 3 सितंबर, 2019 | बुलेटिन पब्लिश किया गया |
| 1.1 | 5 सितंबर, 2019 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया |