पब्लिश किया गया: 5 अक्टूबर, 2020 | अपडेट किया गया: 6 अक्टूबर, 2020
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-10-2020 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के रिपॉज़िटरी में रिलीज़ कर दिए गए हैं. साथ ही, इन्हें इस बुलेटिन से लिंक किया गया है. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ी गंभीर समस्या है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार किए गए ट्रांसमिशन का इस्तेमाल करके, अतिरिक्त अनुमतियों का ऐक्सेस पा सकता है. गंभीरता का आकलन इस बात पर आधारित होता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा के लिए कमज़ोरी को कम करने वाले उपाय बंद किए गए हैं या नहीं. इसके अलावा, यह भी देखा जाता है कि कमज़ोरी को बाईपास किया गया है या नहीं.
Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए सुरक्षा को बेहतर बनाने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect की मदद से, इस तरह के खतरों को कम करने के तरीकों के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि जहां भी हो सके, सभी उपयोगकर्ता अपने डिवाइस को Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं.
01-10-2020 को जारी किए गए सुरक्षा पैच के लेवल में मौजूद जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-10-2020 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
Android रनटाइम
इस सेक्शन में मौजूद जोखिम की वजह से, कोई स्थानीय हमलावर, लाइब्रेरी का इस्तेमाल करने वाले ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड लागू कर सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2020-0408 | A-156999009 | EoP | ज़्यादा | 8.0, 8.1, 9, 10, 11 |
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को बायपास करने में मदद मिल सकती है. इससे, वह ऐप्लिकेशन अतिरिक्त अनुमतियों का ऐक्सेस पा सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2020-0420 |
A-162383705 | EoP | ज़्यादा | 11 |
| CVE-2020-0421 | A-161894517 | EoP | ज़्यादा | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0246 |
A-159062405 | आईडी | ज़्यादा | 10, 11 |
| CVE-2020-0412 |
A-160390416 | आईडी | ज़्यादा | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0419 |
A-142125338 | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, जानकारी को रिमोट से ऐक्सेस किया जा सकता है. इसके लिए, किसी अतिरिक्त अनुमति की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2020-0213 | A-143464314 | आईडी | ज़्यादा | 10, 11 |
| CVE-2020-0411 | A-142641801 | आईडी | ज़्यादा | 10, 11 |
| CVE-2020-0414 |
A-157708122 | आईडी | ज़्यादा | 10, 11 |
| CVE-2019-2194 |
A-137284057 | EoP | काफ़ी हद तक ठीक है | 9 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमलावर को अतिरिक्त अनुमतियों का ऐक्सेस मिल सकता है. इसके लिए, वह खास तौर पर तैयार किए गए ट्रांसमिशन का इस्तेमाल कर सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2020-0215 |
A-140417248 [2] | EoP | ज़्यादा | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0416 |
A-155288585 [2] | EoP | ज़्यादा | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0377 |
A-158833854 | आईडी | ज़्यादा | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0378 |
A-157748906 | आईडी | ज़्यादा | 9, 10, 11 |
| CVE-2020-0398 |
A-154323381 | आईडी | ज़्यादा | 10, 11 |
| CVE-2020-0400 |
A-153356561 | आईडी | ज़्यादा | 10, 11 |
| CVE-2020-0410 |
A-156021269 | आईडी | ज़्यादा | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0413 |
A-158778659 | आईडी | ज़्यादा | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0415 |
A-156020795 | आईडी | ज़्यादा | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0422 |
A-161718556 | आईडी | ज़्यादा | 8.0, 8.1, 9, 10, 11 |
Google Play के सिस्टम अपडेट
Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| कॉम्पोनेंट | CVE |
|---|---|
| मीडिया कोडेक | CVE-2020-0213 |
| मीडिया फ़्रेमवर्क के कॉम्पोनेंट | CVE-2020-0411 |
05-10-2020 के सुरक्षा पैच लेवल की सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-10-2020 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
कर्नेल
इस सेक्शन में मौजूद जोखिम की वजह से, कोई स्थानीय हमलावर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, विशेषाधिकार वाली प्रोसेस के संदर्भ में आर्बिट्ररी कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2020-0423 | A-161151868* | EoP | ज़्यादा | बाइंडर |
MediaTek के कॉम्पोनेंट
इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2020-0283 | A-163008257
M-ALPS05229282* |
ज़्यादा | KeyInstall |
| CVE-2020-0339 | A-162980705
M-ALPS05194445* |
ज़्यादा | वाइडवाइन |
| CVE-2020-0367 |
A-162980455
M-ALPS05194445* |
ज़्यादा | वाइडवाइन |
| CVE-2020-0371 | A-163008256
M-ALPS05229226* |
ज़्यादा | KeyInstall |
| CVE-2020-0376 |
A-163003156
M-ALPS05194415* |
ज़्यादा | आईएसपी (इमेज सिग्नल प्रोसेसर) |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2020-11125 | A-160605820
QC-CR#2617422 QC-CR#2673763 |
ज़्यादा | कर्नेल |
| CVE-2020-11162 | A-160605604
QC-CR#2677376 |
ज़्यादा | कर्नेल |
| CVE-2020-11173 | A-160605709
QC-CR#2646001 |
ज़्यादा | कर्नेल |
| CVE-2020-11174 | A-160605900
QC-CR#2636449 |
ज़्यादा | कर्नेल |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2020-3654 | A-153346045* | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-3657 | A-153344684* | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-3673 | A-153345154* | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-3692 | A-153345116* | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-11154 |
A-160605708* | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-11155 | A-160605404* | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-3638 | A-153346253* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-3670 | A-153345118* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-3678 | A-153345398* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-3684 | A-153346047* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-3690 | A-153344723* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-3703 | A-160605749* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-3704 | A-160605508* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-11141 | A-160606016* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-11156 | A-160605294* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-11157 | A-160605864* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-11164 | A-160605595* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2020-11169 | A-160605405* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-10-2020 या उसके बाद के सुरक्षा पैच के लेवल, 01-10-2020 के सुरक्षा पैच के लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 05-10-2020 या उसके बाद के सिक्योरिटी पैच लेवल, 05-10-2020 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2020-10-01]
- [ro.build.version.security_patch]:[2020-10-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-10-2020 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-10-2020 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए.
- जिन डिवाइसों पर 05-10-2020 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनके लिए, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए, सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. उस समस्या का अपडेट, नए बाइनरी ड्राइवर में हो सकता है (Pixel डिवाइसों के लिए, ये Google Developer साइट से उपलब्ध हैं).सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. उस समस्या का अपडेट, नए बाइनरी ड्राइवर में हो सकता है. Pixel डिवाइसों के लिए, ये Google Developer साइट पर उपलब्ध हैं.
6. सुरक्षा से जुड़ी समस्याओं को इस सूचना और डिवाइस / पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सुरक्षा पैच का नया लेवल तय किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में बताई गई अतिरिक्त सुरक्षा से जुड़ी कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 5 अक्टूबर, 2020 | बुलेटिन पब्लिश किया गया |
| 1.1 | 6 अक्टूबर, 2020 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया |