पब्लिश करने की तारीख: 6 जुलाई, 2020 | अपडेट करने की तारीख: 8 जुलाई, 2020
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. सुरक्षा पैच के लेवल 05-07-2020 या उसके बाद के वर्शन में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
पब्लिकेशन से कम से कम एक महीने पहले, Android पार्टनर को सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के रिपॉज़िटरी में रिलीज़ किए गए हैं. साथ ही, इन्हें इस सूचना से लिंक किया गया है. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर कमजोरी है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. गंभीरता का आकलन, इस बात पर आधारित होता है कि किसी डिवाइस पर, इस समस्या का इस्तेमाल करने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा के लिए जोखिम कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बायपास किया गया है या नहीं.
Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए, खतरों को कम करने के तरीके सेक्शन देखें. इनसे Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं के बारे में बताया गया है. जैसे, Google Play Protect. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा, अन्य जगहों से ऐप्लिकेशन इंस्टॉल करते हैं.
01-07-2020 के सुरक्षा पैच लेवल की जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-07-2020 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को बायपास करने में मदद मिल सकती है. इससे, वह ऐप्लिकेशन अन्य अनुमतियों का ऐक्सेस पा सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
|
CVE-2020-0122 |
A-147247775 | EoP | ज़्यादा | 8.0, 8.1, 9, 10 |
|
CVE-2020-0227 |
A-129476618 [2] [3] [4] [5] [6] | EoP | ज़्यादा | 8.0, 8.1, 9, 10 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
|
CVE-2020-9589 |
A-156261521 | आरसीई | सबसे अहम | 8.0, 8.1, 9, 10 |
|
CVE-2020-0226 |
A-150226994 | EoP | ज़्यादा | 10 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
|
CVE-2020-0224 |
A-147664838 [2] | आरसीई | सबसे अहम | 8.0, 8.1, 9, 10 |
|
CVE-2020-0225 |
A-142546668 | आरसीई | सबसे अहम | 10 |
|
CVE-2020-0107 |
A-146570216 [2] | आईडी | ज़्यादा | 10 |
Google Play के सिस्टम अपडेट
इस महीने, Google Play के सिस्टम अपडेट (Project Mainline) में सुरक्षा से जुड़ी कोई समस्या हल नहीं की गई है.
05-07-2020 को जारी किए गए सुरक्षा पैच के लेवल में मौजूद जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-07-2020 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
Broadcom के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार किए गए मैसेज का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. जिन पार्टनर पर इन समस्याओं का असर पड़ा है उन्हें सीधे Broadcom से संपर्क करके, इस पैच का अनुरोध करना चाहिए.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
|
CVE-2019-9501 |
A-130373736 * | आरसीई | सबसे अहम | Broadcom फ़र्मवेयर |
|
CVE-2019-9502 |
A-130374366 * | आरसीई | सबसे अहम | Broadcom फ़र्मवेयर |
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर समस्या की वजह से, कोई स्थानीय हमलावर उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को बायपास कर सकता है. ऐसा करके, वह अतिरिक्त अनुमतियों का ऐक्सेस हासिल कर सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
|
CVE-2018-20669 |
A-135368228
अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | i915 ड्राइवर |
|
CVE-2019-18282 |
A-148588557
अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | Linux नेटवर्किंग स्टैक |
|
CVE-2019-20636 |
A-153715664
अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | इनपुट ड्राइवर |
MediaTek के कॉम्पोनेंट
इन समस्याओं की गंभीरता का आकलन, सीधे MediaTek करता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
|
CVE-2020-0230 |
A-156337262
ALPS05018169 * |
EoP | ज़्यादा | vcu |
|
CVE-2020-0231 |
A-156333727
ALPS05028343 * |
EoP | ज़्यादा | बाहरी मेमोरी इंटरफ़ेस |
|
CVE-2020-0228 |
A-156333723
ALPS04163861 * |
आईडी | ज़्यादा | रिकॉर्डर से जुड़ी सेवा |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
|
CVE-2020-3698 |
A-153345312
QC-CR#2569764 [2] [3] |
लागू नहीं | सबसे अहम | वाई-फ़ाई |
|
CVE-2020-3699 |
A-153344687
QC-CR#2583124 QC-CR#2616229 |
लागू नहीं | सबसे अहम | वाई-फ़ाई |
|
CVE-2019-10580 |
A-147103019
QC-CR#2507671 |
लागू नहीं | ज़्यादा | कर्नेल |
|
CVE-2020-3700 |
A-153345156
QC-CR#2389239 |
लागू नहीं | ज़्यादा | वाई-फ़ाई |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
|
CVE-2019-14123 |
A-147104256 * | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
|
CVE-2019-14124 |
A-147104233 * | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
|
CVE-2019-14130 |
A-147103639 * | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
|
CVE-2020-3688 |
A-153345450 * | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
|
CVE-2020-3701 |
A-153345219 * | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-07-2020 या उसके बाद के सिक्योरिटी पैच लेवल, 01-07-2020 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 05-07-2020 या उसके बाद के सिक्योरिटी पैच लेवल, 05-07-2020 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2020-07-01]
- [ro.build.version.security_patch]:[2020-07-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में, तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-07-2020 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में दो सिक्योरिटी पैच लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-07-2020 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 05-07-2020 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन पर वे काम कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए उपलब्ध सबसे नए बिटरी ड्राइवर में होता है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को, इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel के बुलेटिन के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सबसे नए सिक्योरिटी पैच लेवल का एलान किया जाता है. सुरक्षा से जुड़ी जोखिमों की जानकारी, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में दी जाती है. हालांकि, सुरक्षा पैच लेवल का एलान करने के लिए, इन जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | अहम जानकारी |
|---|---|---|
| 1.0 | 6 जुलाई, 2020 | बुलेटिन पब्लिश किया गया |
| 1.1 | 8 जुलाई, 2020 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया |