पब्लिश करने की तारीख: 2 दिसंबर, 2019 | अपडेट करने की तारीख: 14 जनवरी, 2020
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-12-2019 या उसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को हल करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को सभी समस्याओं की सूचना, पब्लिकेशन से कम से कम एक महीने पहले दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ किए गए हैं और इस सूचना से लिंक किए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी गंभीर समस्या है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार किए गए मैसेज का इस्तेमाल करके, सेवा में हमेशा के लिए रुकावट डाल सकता है. गंभीरता का आकलन इस बात पर आधारित होता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने वाली सुविधाएं बंद हैं या नहीं या उन्हें बाईपास कर दिया गया है.
Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा से जुड़ी सुविधाएं सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
ध्यान दें: Google डिवाइसों के लिए, ऑवर-द-एयर अपडेट (ओटीए) और फ़र्मवेयर इमेज के बारे में नई जानकारी, दिसंबर 2019 के Pixel अपडेट बुलेटिन में उपलब्ध है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect की मदद से, इस तरह के हमलों को कम करने के तरीकों के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि जहां भी हो सके, सभी उपयोगकर्ता अपने डिवाइस को Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं.
01-12-2019 के सुरक्षा पैच लेवल की समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-12-2019 के पैच लेवल पर लागू होती है. जोखिम, उन कॉम्पोनेंट के हिसाब से ग्रुप किए जाते हैं जिन पर उनका असर पड़ता है. इसमें समस्या के बारे में जानकारी दी गई है. साथ ही, एक टेबल में CVE, उससे जुड़े रेफ़रंस, सुरक्षा से जुड़े जोखिम का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) की जानकारी दी गई है. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को, सुरक्षा अपडेट के साथ-साथ Google Play के सिस्टम अपडेट भी मिल सकते हैं.
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमलावर किसी खास मैसेज का इस्तेमाल करके, सेवा में हमेशा के लिए रुकावट डाल सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2019-2232 | A-140632678 | डीओएस | सबसे अहम | 8.0, 8.1, 9, 10 |
| CVE-2019-9464 | A-141028068 [2] [3] [4] | EoP | ज़्यादा | 10 |
| CVE-2019-2217 | A-141003796 | EoP | ज़्यादा | 10 |
| CVE-2019-2218 | A-141169173 | EoP | ज़्यादा | 8.0, 8.1, 9, 10 |
| CVE-2019-2220 | A-138636979 [2] | आईडी | ज़्यादा | 9, 10 |
| CVE-2019-2221 | A-138583650 [2] | EoP | काफ़ी हद तक ठीक है | 10 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2019-2222 | A-140322595 | आरसीई | काफ़ी हद तक ठीक है | 10 |
| आरसीई | सबसे अहम | 8.0, 8.1, 9 | ||
| CVE-2019-2223 | A-140692129 | आरसीई | काफ़ी हद तक ठीक है | 10 |
| आरसीई | सबसे अहम | 8.0, 8.1, 9 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2019-15140 | A-140328986 | आरसीई | ज़्यादा | 8.0, 8.1, 9, 10 |
| CVE-2019-2225 | A-110433804 [2] | EoP | ज़्यादा | 8.0, 8.1, 9, 10 |
| CVE-2019-2226 | A-140152619 | आईडी | ज़्यादा | 8.0, 8.1, 9, 10 |
| CVE-2019-2227 | A-140768453 | आईडी | ज़्यादा | 9, 10 |
| CVE-2019-2228 | A-111210196 [2] | आईडी | ज़्यादा | 8.0, 8.1, 9, 10 |
| CVE-2019-2229 | A-139803872 [2] | आईडी | ज़्यादा | 8.0, 8.1, 9, 10 |
| CVE-2019-2230 | A-141170038 | आईडी | ज़्यादा | 10 |
Google Play के सिस्टम अपडेट
सुरक्षा से जुड़ी ये समस्याएं, Google Play के सिस्टम अपडेट में शामिल होती हैं.
| कॉम्पोनेंट | सीवीई |
|---|---|
| मीडिया कोडेक | CVE-2019-2222, CVE-2019-2223 |
05-12-2019 को जारी किए गए सुरक्षा पैच के लेवल में मौजूद जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-12-2019 के पैच लेवल पर लागू होती हैं. जोखिम की संभावनाओं को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनका असर पड़ता है. इनमें CVE, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, कॉम्पोनेंट (जहां लागू हो), और अपडेट किए गए AOSP वर्शन (जहां लागू हो) जैसी जानकारी शामिल होती है. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो बग आईडी के बाद के नंबर से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
सिस्टम
इस सेक्शन में मौजूद जोखिम की वजह से, किसी स्थानीय हमलावर को संवेदनशील डेटा का ऐक्सेस मिल सकता है. इसके लिए, उसे ऐक्सेस की विशेष सुविधाएं मिलनी चाहिए.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2019-2231 | A-141955555 | आईडी | ज़्यादा | 9, 10 |
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2018-20961 | A-139522588 अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | यूएसबी MIDI क्लास फ़ंक्शन ड्राइवर |
| CVE-2019-15220 | A-140329469 अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | Prism54 वाई-फ़ाई यूएसबी ड्राइवर |
| CVE-2019-15239 | A-140328996 अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | टीसीपी स्टैक |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2019-10557 | A-78657016 QC-CR#2255369 QC-CR#2259707 |
लागू नहीं | ज़्यादा | WLAN होस्ट |
| CVE-2018-11980 | A-140423440 QC-CR#2270117 |
लागू नहीं | ज़्यादा | WLAN होस्ट |
| CVE-2019-10480 | A-140423811 QC-CR#2309399 |
लागू नहीं | ज़्यादा | WLAN होस्ट |
| CVE-2019-10481 | A-140423794 QC-CR#2304610 QC-CR#2318632 |
लागू नहीं | ज़्यादा | WLAN होस्ट |
| CVE-2019-10536 | A-140423334 QC-CR#2433802 |
लागू नहीं | ज़्यादा | WLAN होस्ट |
| CVE-2019-10537 | A-140423693 QC-CR#2436502 |
लागू नहीं | ज़्यादा | WLAN होस्ट |
| CVE-2019-10595 | A-140423810 QC-CR#2148184 |
लागू नहीं | ज़्यादा | WLAN होस्ट |
| CVE-2019-10598 | A-140423155 QC-CR#2324139 |
लागू नहीं | ज़्यादा | WLAN होस्ट |
| CVE-2019-10601 | A-140423156 QC-CR#2428798 |
लागू नहीं | ज़्यादा | WLAN होस्ट |
| CVE-2019-10605 | A-140424124 QC-CR#2187441 |
लागू नहीं | ज़्यादा | WLAN होस्ट |
| CVE-2019-10607 | A-140423690 QC-CR#2211711 |
लागू नहीं | ज़्यादा | सुरक्षा |
| CVE-2019-2304 | A-123238115 QC-CR#2331868 QC-CR#2335530 QC-CR#2348299 QC-CR#2203904* |
लागू नहीं | ज़्यादा | WLAN होस्ट |
Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2019-2242 | A-123998200* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10500 | A-134437248* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10525 | A-134437319* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10482 | A-132108950* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10487 | A-134437030* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10516 | A-134437075* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-2274 | A-134437362* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10513 | A-134437225* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10517 | A-140424724* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2019-10600 | A-140424089* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-12-2019 या उसके बाद के सुरक्षा पैच लेवल, 01-12-2019 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
- 05-12-2019 या उसके बाद के सिक्योरिटी पैच लेवल, 05-12-2019 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2019-12-01]
- [ro.build.version.security_patch]:[2019-12-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में, तारीख की वह स्ट्रिंग होगी जो 01-12-2019 के सुरक्षा पैच लेवल से मेल खाती है. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-12-2019 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए.
- जिन डिवाइसों में 05-12-2019 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध न होने वाली समस्याओं के लिए, रेफ़रंस कॉलम में Android गड़बड़ी आईडी के बगल में * का निशान दिखता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google Developers साइट से उपलब्ध होते हैं.
6. सुरक्षा से जुड़ी समस्याओं को इस सूचना और डिवाइस / पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सुरक्षा पैच का नया लेवल तय किया जाता है. सुरक्षा से जुड़ी अतिरिक्त जोखिम, डिवाइस और पार्टनर के सुरक्षा बुलेटिन में दर्ज किए जाते हैं. हालांकि, सुरक्षा पैच लेवल का एलान करने के लिए, इन जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | अहम जानकारी |
|---|---|---|
| 1.0 | 2 दिसंबर, 2019 | बुलेटिन पब्लिश किया गया |
| 1.1 | 3 दिसंबर, 2019 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया |
| 1.2 | 13 दिसंबर, 2019 | बदली गई सीवीई टेबल |
| 1.3 | 14 जनवरी, 2020 | समस्या A-140328986 के लिए CVE आईडी को CVE-2019-15140 पर अपडेट कर दिया गया है |