पब्लिश किया गया: 7 दिसंबर, 2020 | अपडेट किया गया: 10 दिसंबर, 2020
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. सुरक्षा पैच के लेवल 05-12-2020 या उसके बाद के वर्शन में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
पब्लिकेशन से कम से कम एक महीने पहले, Android पार्टनर को सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए गए हैं. साथ ही, इन्हें इस सूचना से लिंक किया गया है. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, मीडिया फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर कमजोरी है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. गंभीरता का आकलन इस बात पर आधारित होता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा के लिए कमज़ोरी को कम करने की सुविधाएं बंद की गई हैं या नहीं या उन्हें बायपास कर दिया गया है.
Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए, खतरों को कम करने के तरीके सेक्शन देखें. इनसे Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं के बारे में बताया गया है. जैसे, Google Play Protect. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google Mobile Services वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा, किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.
01-12-2020 के सुरक्षा पैच लेवल की समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-12-2020 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को बायपास करने में मदद मिल सकती है. इससे, वह ऐप्लिकेशन अन्य अनुमतियों का ऐक्सेस पा सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
|
CVE-2020-0099 |
A-141745510 | EoP | ज़्यादा | 8.0, 8.1, 9, 10 |
|
CVE-2020-0294 |
A-154915372 | EoP | ज़्यादा | 8.0, 8.1, 9, 10 |
|
CVE-2020-0440 |
A-162627132 [2] | EoP | ज़्यादा | 11 |
|
CVE-2020-0459 |
A-159373687 [2] [3] [4] [5] | आईडी | ज़्यादा | 8.0, 8.1, 9, 10 |
|
CVE-2020-0464 |
A-150371903 [2] | आईडी | ज़्यादा | 10 |
|
CVE-2020-0467 |
A-168500792 | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
|
CVE-2020-0468 |
A-158484422 | आईडी | ज़्यादा | 10, 11 |
|
CVE-2020-0469 |
A-168692734 | डीओएस | ज़्यादा | 11 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
|
CVE-2020-0458 |
A-160265164 [2] | आरसीई | सबसे अहम | 8.0, 8.1, 9, 10 |
|
CVE-2020-0470 |
A-166268541 | आईडी | ज़्यादा | 10, 11 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से जानकारी को ज़ाहिर किया जा सकता है. इसके लिए, किसी अतिरिक्त अनुमति की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
|
CVE-2020-0460 |
A-163413737 | आईडी | ज़्यादा | 11 |
|
CVE-2020-0463 |
A-169342531 | आईडी | ज़्यादा | 8.0, 8.1, 9, 10, 11 |
|
CVE-2020-15802 |
A-158854097 | आईडी | ज़्यादा | 8.0, 8.1, 9, 10, 11 |
Google Play के सिस्टम अपडेट
इस महीने, Google Play के सिस्टम अपडेट (Project Mainline) में सुरक्षा से जुड़ी कोई समस्या ठीक नहीं की गई है.
05-12-2020 को जारी किए गए सुरक्षा पैच के लेवल में मौजूद जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 05-12-2020 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, किसी स्थानीय और नुकसान पहुंचाने वाले ऐप्लिकेशन को, ऐक्सेस की अनुमति वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
|
CVE-2020-0444 |
A-150693166
अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | Kernel ऑडिट सिस्टम |
|
CVE-2020-0465 |
A-162844689
अपस्ट्रीम कर्नेल [2] |
EoP | ज़्यादा | कर्नेल |
|
CVE-2020-0466 |
A-147802478
अपस्ट्रीम कर्नेल [2] |
EoP | ज़्यादा | I/O सबसिस्टम |
Broadcom के कॉम्पोनेंट
इन कमजोरियों का असर Broadcom के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे तौर पर Broadcom से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Broadcom करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट | |
|---|---|---|---|---|
|
CVE-2020-0016 |
A-171413483 * | ज़्यादा | Broadcom मिडलवेयर | |
|
CVE-2020-0019 |
A-171413798 * | ज़्यादा | Broadcom मिडलवेयर |
MediaTek के कॉम्पोनेंट
इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, MediaTek सीधे तौर पर करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट | |
|---|---|---|---|---|
|
CVE-2020-0455 |
A-170372514
M-ALPS05324771 * |
ज़्यादा | vcu | |
|
CVE-2020-0456 |
A-170378843
M-ALPS05304125 * |
ज़्यादा | vcu | |
|
CVE-2020-0457 |
A-170367562
M-ALPS05304170 * |
ज़्यादा | vcu |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट | |
|---|---|---|---|---|
|
CVE-2020-11225 |
A-168050601
QC-CR#2724407 |
सबसे अहम | वाई-फ़ाई | |
|
CVE-2020-11146 |
A-157906412
QC-CR#2648596 |
ज़्यादा | कर्नेल | |
|
CVE-2020-11167 |
A-168049959
QC-CR#2434229 [2] |
ज़्यादा | ब्लूटूथ | |
|
CVE-2020-11185 |
A-168050580
QC-CR#2658462 |
ज़्यादा | वाई-फ़ाई | |
|
CVE-2020-11217 |
A-168051734
QC-CR#2710036 |
ज़्यादा | ऑडियो |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट | |
|---|---|---|---|---|
|
CVE-2020-3685 |
A-157905813 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-3686 |
A-157906329 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-3691 |
A-157906171 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11136 |
A-157905860 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11137 |
A-157905869 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11138 |
A-157905657 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11140 |
A-157906530 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11143 |
A-157905814 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11119 |
A-168051735 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11139 |
A-157905659 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11144 |
A-157906670 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11145 |
A-157905870 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11179 |
A-163548240 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11197 |
A-168050278 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11200 |
A-168049958 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11212 |
A-168050603 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11213 |
A-168050861 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11214 |
A-168049138 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11215 |
A-168049960 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11216 |
A-168050579 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-12-2020 या उसके बाद के सुरक्षा पैच लेवल, 01-12-2020 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 05-12-2020 या उसके बाद के सिक्योरिटी पैच लेवल, 05-12-2020 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
डिवाइस बनाने वाली जिन कंपनियों ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2020-12-01]
- [ro.build.version.security_patch]:[2020-12-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में, तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-12-2020 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में दो सिक्योरिटी पैच लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-12-2020 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए सुधार भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों पर 05-12-2020 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए, सुधारों को बंडल करें जिन पर वे काम कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए उपलब्ध सबसे नए बिटरी ड्राइवर में होता है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel के बुलेटिन के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सबसे नए सिक्योरिटी पैच लेवल का एलान किया जाता है. सुरक्षा से जुड़ी जोखिमों की जानकारी, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में दी जाती है. हालांकि, सुरक्षा पैच लेवल का एलान करने के लिए, इन जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 7 दिसंबर, 2020 | बुलेटिन पब्लिश किया गया |
| 1.1 | 10 दिसंबर, 2020 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया |