पब्लिश होने की तारीख: 7 जुलाई, 2021 | अपडेट होने की तारीख: 21 जुलाई, 2021
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. सुरक्षा पैच के लेवल 05-07-2021 या उसके बाद के वर्शन में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
पब्लिकेशन से कम से कम एक महीने पहले, Android पार्टनर को सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के रिपॉज़िटरी में रिलीज़ किए गए हैं. साथ ही, इन्हें इस सूचना से लिंक किया गया है. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. गंभीर समस्या का आकलन, इस बात पर आधारित होता है कि इससे जिस डिवाइस पर असर पड़ा है उस पर, इस समस्या का इस्तेमाल करने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कम करने की सुविधाएं बंद हैं या नहीं या इन्हें बाईपास किया गया है या नहीं.
Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी समस्याओं को हल करने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सेवाओं से जुड़ी सुरक्षा से जुड़ी सुविधाओं के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और सोर्स से ऐप्लिकेशन इंस्टॉल करते हैं.
01-07-2021 को जारी किए गए सुरक्षा पैच के लेवल में मौजूद जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-07-2021 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को बायपास करने में मदद मिल सकती है. इससे वह ऐप्लिकेशन, अन्य अनुमतियों का ऐक्सेस पा सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0441 | A-174495520 [2] | EoP | ज़्यादा | 11 |
| CVE-2021-0486 | A-171430330 [2] | EoP | ज़्यादा | 10, 11 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को, विशेष अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0587 | A-185259758 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0601 | A-180643802 | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को बायपास करने में मदद मिल सकती है. इससे, वह ऐप्लिकेशन अन्य अनुमतियों का ऐक्सेस पा सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2020-0417 | A-154319182 | EoP | ज़्यादा | 8.1, 9, 10 |
| CVE-2021-0585 | A-184963385 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0586 | A-182584940 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0589 | A-180939982 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0594 | A-176445224 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0600 | A-179042963 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0602 | A-177573895 | EoP | ज़्यादा | 10, 11 |
| CVE-2021-0588 | A-177238342 | आईडी | ज़्यादा | 8.1, 9 |
| CVE-2021-0590 | A-175213041 [2] | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0596 | A-181346550 | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0597 | A-176496502 | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0599 | A-175614289 | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0604 | A-179910660 | आईडी | ज़्यादा | 8.1, 9, 10, 11 |
Google Play के सिस्टम अपडेट
Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| कॉम्पोनेंट | CVE |
|---|---|
| MediaProvider | CVE-2021-0441 |
| मीडिया कोडेक | CVE-2021-0601 |
| नेटवर्क स्टैक | CVE-2021-0590 |
05-07-2021 को जारी किए गए सुरक्षा पैच के लेवल में मौजूद जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 05-07-2021 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
फ़्रेमवर्क
इस सेक्शन में मौजूद जोखिम की वजह से, किसी स्थानीय हमलावर को संवेदनशील डेटा का ऐक्सेस मिल सकता है. इसके लिए, उसे ऐक्सेस की विशेष सुविधाएं मिलनी चाहिए.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2020-0368 | A-143230980 [2] | आईडी | ज़्यादा | 11 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0514 | A-162604069 [2] [3] | आरसीई | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0515 | A-167389063 [2] [3] | आरसीई | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0603 | A-182809425 | EoP | ज़्यादा | 11 |
MediaTek के कॉम्पोनेंट
इस समस्या का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इस समस्या की गंभीरता का आकलन, MediaTek सीधे तौर पर करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2021-0577 |
A-187161771
M-ALPS05544148 * |
ज़्यादा | flv extractor |
Widevine DRM
इस समस्या का असर, Widevine डीआरएम कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी, सीधे तौर पर Widevine डीआरएम से उपलब्ध है. इस समस्या की गंभीरता का आकलन, सीधे तौर पर Widevine DRM करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2021-0592 |
A-188061006 * | सबसे अहम | वाइडवाइन |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2021-1965 |
A-184561775 QC-CR#2867353 |
सबसे अहम | वाई-फ़ाई |
| CVE-2021-1907 | A-184561563 QC-CR#2766363 |
ज़्यादा | वाई-फ़ाई |
| CVE-2021-1931 | A-179057550 QC-CR#2820093 |
ज़्यादा | बूटलोडर |
| CVE-2021-1940 | A-184561360 QC-CR#2830334 |
ज़्यादा | कर्नेल |
| CVE-2021-1943 | A-184561361 QC-CR#2836205 |
ज़्यादा | वाई-फ़ाई |
| CVE-2021-1945 | A-184561583 QC-CR#2838849 |
ज़्यादा | वाई-फ़ाई |
| CVE-2021-1954 | A-184561797 QC-CR#2842475 |
ज़्यादा | वाई-फ़ाई |
| CVE-2021-1955 | A-184561582 QC-CR#2810235 QC-CR#2857049 QC-CR#2857052 |
ज़्यादा | वाई-फ़ाई |
| CVE-2021-1964 | A-184561362
QC-CR#2856212 |
ज़्यादा | वाई-फ़ाई |
| CVE-2021-1970 | A-184561587
QC-CR#2857084 |
ज़्यादा | वाई-फ़ाई |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2020-11307 | A-175038120 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2021-1938 | A-184561642 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2021-1953 | A-184561249 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-07-2021 या उसके बाद के सिक्योरिटी पैच लेवल, 01-07-2021 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 05-07-2021 या इसके बाद के सिक्योरिटी पैच लेवल, 05-07-2021 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2021-07-01]
- [ro.build.version.security_patch]:[2021-07-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में, तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-07-2021 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में दो सिक्योरिटी पैच लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-07-2021 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं के साथ-साथ, पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं के लिए ठीक किए गए वर्शन शामिल होने चाहिए.
- जिन डिवाइसों में 05-07-2021 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन पर वे काम कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए उपलब्ध सबसे नए बिटरी ड्राइवर में होता है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को, इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel के बुलेटिन के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सबसे नए सिक्योरिटी पैच लेवल का एलान किया जाता है. सुरक्षा से जुड़ी जोखिमों की जानकारी, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में दी जाती है. हालांकि, सुरक्षा पैच लेवल का एलान करने के लिए, इन जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 7 जुलाई, 2021 | बुलेटिन पब्लिश किया गया |
| 1.1 | 9 जुलाई, 2021 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया |
| 1.2 | 15 जुलाई, 2021 | बदली गई सीवीई टेबल |
| 1.3 | 21 जुलाई, 2021 | बदली गई सीवीई टेबल |