पब्लिश करने की तारीख: 1 फ़रवरी, 2021 | अपडेट करने की तारीख: 2 फ़रवरी, 2021
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. सुरक्षा पैच के लेवल के तौर पर, 05-02-2021 या उसके बाद के लेवल से, इन सभी समस्याओं को ठीक किया जा सकता है. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
पब्लिकेशन से कम से कम एक महीने पहले, Android पार्टनर को सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए गए हैं. साथ ही, इन्हें इस सूचना से लिंक किया गया है. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, मीडिया फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर कमजोरी है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. गंभीर समस्या का आकलन, इस बात पर आधारित होता है कि इससे जिस डिवाइस पर असर पड़ा है उस पर, इस समस्या का इस्तेमाल करने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कम करने की सुविधाएं बंद हैं या नहीं या इन्हें बाईपास किया गया है या नहीं.
Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी समस्याओं को हल करने के तरीके सेक्शन देखें. इन सुविधाओं से, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect से मिलने वाले सुरक्षा उपायों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.
01-02-2021 को जारी किए गए सुरक्षा पैच के लेवल में मौजूद जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी देते हैं जो 01-02-2021 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
Android रनटाइम
इस सेक्शन में मौजूद जोखिम की वजह से, जानकारी को रिमोट से ज़ाहिर किया जा सकता है. इसके लिए, किसी और अनुमति की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
|
CVE-2021-0341 |
A-171980069 [2] | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को बायपास करने में मदद मिल सकती है. इससे, वह ऐप्लिकेशन अन्य अनुमतियों का ऐक्सेस पा सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
|
CVE-2021-0302 |
A-155287782 | EoP | ज़्यादा | 8.1, 9, 10 |
|
CVE-2021-0305 |
A-154015447 [2] [3] | EoP | ज़्यादा | 8.1, 9, 10 |
|
CVE-2021-0314 |
A-171221302 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
|
CVE-2021-0327 |
A-172935267 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
|
CVE-2021-0330 |
A-170732441 | EoP | ज़्यादा | 9, 10, 11 |
|
CVE-2021-0334 |
A-163358811 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
|
CVE-2021-0337 |
A-157474195 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
|
CVE-2021-0339 |
A-145728687 [2] [3] [4] [5] | EoP | ज़्यादा | 8.1, 9, 10 |
|
CVE-2021-0340 |
A-134155286 | EoP | ज़्यादा | 10 |
|
CVE-2021-0338 |
A-156260178 | डीओएस | ज़्यादा | 10, 11 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
|
CVE-2021-0325 |
A-174238784 | आरसीई | ज़्यादा | 10, 11 |
| आरसीई | सबसे अहम | 8.1, 9 | ||
|
CVE-2021-0332 |
A-169256435 | EoP | ज़्यादा | 10, 11 |
|
CVE-2021-0335 |
A-160346309 | आईडी | ज़्यादा | 11 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार किए गए ट्रांसमिशन का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
|
CVE-2021-0326 |
A-172937525 | आरसीई | सबसे अहम | 8.1, 9, 10, 11 |
|
CVE-2021-0328 |
A-172670415 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
|
CVE-2021-0329 |
A-171400004 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
|
CVE-2021-0331 |
A-170731783 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
|
CVE-2021-0333 |
A-168504491 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
|
CVE-2021-0336 |
A-158219161 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
Google Play के सिस्टम अपडेट
Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| कॉम्पोनेंट | CVE |
|---|---|
| मीडिया कोडेक | CVE-2021-0325 |
05-02-2021 को जारी किए गए सुरक्षा पैच के लेवल में मौजूद जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी देते हैं जो 05-02-2021 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद जोखिम की वजह से, कोई स्थानीय हमलावर किसी खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-18509 | A-172999675 अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | IPv6 मल्टीकास्ट |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट | |
|---|---|---|---|---|
| CVE-2020-11272 | A-172348733 QC-CR#2598841 QC-CR#2771345 |
सबसे अहम | वाई-फ़ाई | |
| CVE-2020-11271 | A-172348954
QC-CR#2555096 |
ज़्यादा | ऑडियो | |
| CVE-2020-11277 | A-172349048
QC-CR#2731406 * |
ज़्यादा | कैमरा | |
| CVE-2020-11282 | A-161374239
QC-CR#2748408 |
ज़्यादा | डिसप्ले | |
| CVE-2020-11286 | A-172348990
QC-CR#2755788 |
ज़्यादा | कर्नेल | |
| CVE-2020-11297 | A-172349044
QC-CR#2588832 |
ज़्यादा | वाई-फ़ाई |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट | |
|---|---|---|---|---|
| CVE-2020-11163 | A-162751928* | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11170 | A-162753079* | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11177 | A-162755362* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11180 | A-168050602* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11187 | A-162755638* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11253 | A-168722706* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11269 | A-172348983* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11270 | A-172349024* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11275 | A-172348985* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11276 | A-172349003* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11278 | A-172349045* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11280 | A-172348987* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11281 | A-161714839* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11283 | A-168918306* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11287 | A-172348989* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2020-11296 | A-172348729* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-02-2021 या उसके बाद के सिक्योरिटी पैच लेवल, 01-02-2021 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
- 05-02-2021 या इसके बाद के सिक्योरिटी पैच लेवल, 05-02-2021 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2021-02-01]
- [ro.build.version.security_patch]:[2021-02-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में, तारीख की वह स्ट्रिंग होगी जो 01-02-2021 के सुरक्षा पैच लेवल से मेल खाती है. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में दो सिक्योरिटी पैच लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-02-2021 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए.
- जिन डिवाइसों में 05-02-2021 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन पर वे काम कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए बने नए बिटरी ड्राइवर में होता है. ये ड्राइवर, Google Developer साइट से उपलब्ध होते हैं.
6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को, इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel के बुलेटिन के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सबसे नए सिक्योरिटी पैच लेवल का एलान किया जाता है. सुरक्षा से जुड़ी जोखिमों की जानकारी, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में दी जाती है. हालांकि, सुरक्षा पैच लेवल का एलान करने के लिए, इन जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | अहम जानकारी |
|---|---|---|
| 1.0 | 1 फ़रवरी, 2021 | बुलेटिन रिलीज़ किया गया |
| 1.1 | 02 फ़रवरी, 2021 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया |