हमारा सुझाव है कि 27 मार्च, 2025 से AOSP को बनाने और उसमें योगदान देने के लिए, aosp-main के बजाय android-latest-release का इस्तेमाल करें. ज़्यादा जानकारी के लिए, AOSP में हुए बदलाव लेख पढ़ें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

Android सुरक्षा बुलेटिन—अगस्त 2021
संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

पब्लिश किया गया: 2 अगस्त, 2021 | अपडेट किया गया: 4 अगस्त, 2021

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-08-2021 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

पब्लिकेशन से कम से कम एक महीने पहले, Android पार्टनर को सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के रिपॉज़िटरी में रिलीज़ किए गए हैं. साथ ही, इन्हें इस सूचना से लिंक किया गया है. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इनमें से सबसे गंभीर समस्या, मीडिया फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी गंभीर समस्या है. इसकी वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, ऑपरेटिंग सिस्टम की सुरक्षा से जुड़ी उन सुविधाओं को बायपास कर सकता है जो ऐप्लिकेशन के डेटा को अन्य ऐप्लिकेशन से अलग रखती हैं. गंभीर समस्या का आकलन, इस बात पर आधारित होता है कि किसी डिवाइस पर कमज़ोरी का फ़ायदा उठाने से, उस डिवाइस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने वाली सुविधाएं बंद हैं या नहीं या उन्हें बाईपास कर दिया गया है.

Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए खतरों को कम करने वाले सेक्शन पर जाएं. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.

Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना

इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect की मदद से, इस तरह के खतरों को कम करने के तरीकों के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा, किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.

01-08-2021 के सुरक्षा पैच लेवल की समस्या की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-08-2021 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.

फ़्रेमवर्क

इस सेक्शन में मौजूद सबसे गंभीर समस्या की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को बायपास कर सकता है. ऐसा, अतिरिक्त अनुमतियों का ऐक्सेस पाने के लिए किया जाता है.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2021-0640	A-187957589	EoP	ज़्यादा	9, 10, 11
CVE-2021-0645	A-157320644	EoP	ज़्यादा	11
CVE-2021-0646	A-153352319	EoP	ज़्यादा	8.1, 9, 10, 11

मीडिया फ़्रेमवर्क

इस सेक्शन में मौजूद जोखिम की वजह से, स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को ऑपरेटिंग सिस्टम की सुरक्षा को बायपास करने में मदद मिल सकती है. यह सुरक्षा, ऐप्लिकेशन के डेटा को दूसरे ऐप्लिकेशन से अलग रखती है.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2021-0519	A-176533109	आईडी	ज़्यादा	10, 11
CVE-2021-0519	A-176533109	EoP	ज़्यादा	8.1, 9

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय हमलावर को ज़्यादा अनुमतियों का ऐक्सेस पाने के लिए, खास तौर पर तैयार किए गए ट्रांसमिशन का इस्तेमाल करने की सुविधा मिल सकती है.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2021-0591	A-179386960 [2]	EoP	ज़्यादा	8.1, 9, 10, 11
CVE-2021-0593	A-179386068 [2]	EoP	ज़्यादा	8.1, 9, 10, 11
CVE-2021-0584	A-179289794	आईडी	ज़्यादा	8.1, 9, 10, 11
CVE-2021-0641	A-185235454	आईडी	ज़्यादा	8.1, 9, 10, 11
CVE-2021-0642	A-185126149	आईडी	ज़्यादा	8.1, 9, 10, 11

Google Play के सिस्टम अपडेट

Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

कॉम्पोनेंट	CVE
Statsd	CVE-2021-0640
मीडिया कोडेक	CVE-2021-0519
मीडिया कोडेक, मीडिया फ़्रेमवर्क के कॉम्पोनेंट	CVE-2021-0584

05-08-2021 को जारी किए गए सुरक्षा पैच के लेवल में मौजूद जोखिम की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 05-08-2021 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

Kernel कॉम्पोनेंट

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, 'इस्तेमाल के बाद मुक्त करें' सुविधा की वजह से, कोर कोड को मनमुताबिक चलाया जा सकता है.

CVE	रेफ़रंस	टाइप	गंभीरता	कॉम्पोनेंट
CVE-2020-14381	A-175193031 अपस्ट्रीम कर्नेल	EoP	ज़्यादा	Futex
CVE-2021-3347	A-171705902 अपस्ट्रीम कर्नेल	EoP	ज़्यादा	Futex
CVE-2021-28375	A-183188047 अपस्ट्रीम कर्नेल	EoP	ज़्यादा	FastRPC

MediaTek के कॉम्पोनेंट

इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे MediaTek करता है.

CVE	रेफ़रंस	गंभीरता	कॉम्पोनेंट
CVE-2021-0573	A-187231635 M-ALPS05489195 *	ज़्यादा	asf extractor
CVE-2021-0574	A-187234876 M-ALPS05561346 *	ज़्यादा	asf extractor
CVE-2021-0576	A-187236084 M-ALPS05517392 *	ज़्यादा	flv extractor
CVE-2021-0578	A-187161772 M-ALPS05551422 *	ज़्यादा	वाई-फ़ाई ड्राइवर
CVE-2021-0579	A-187231636 M-ALPS05551426 *	ज़्यादा	वाई-फ़ाई ड्राइवर
CVE-2021-0580	A-187231637 M-ALPS05560223 *	ज़्यादा	वाई-फ़ाई ड्राइवर
CVE-2021-0581	A-187231638 M-ALPS05560246 *	ज़्यादा	वाई-फ़ाई ड्राइवर
CVE-2021-0582	A-187149601 M-ALPS05560246 *	ज़्यादा	वाई-फ़ाई ड्राइवर

Widevine DRM

इस समस्या का असर, Widevine डीआरएम कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Widevine डीआरएम से संपर्क करें. इस समस्या की गंभीरता का आकलन, सीधे तौर पर Widevine DRM करता है.

CVE	रेफ़रंस		गंभीरता	कॉम्पोनेंट
CVE-2021-0639	A-190724551 *		ज़्यादा	वाइडवाइन

Qualcomm के कॉम्पोनेंट

इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	कॉम्पोनेंट
CVE-2021-1972	A-187073198 QC-CR#2823861	सबसे अहम	वाई-फ़ाई
CVE-2021-1976	A-187074482 QC-CR#2857392	सबसे अहम	वाई-फ़ाई
CVE-2021-1904	A-175037520 QC-CR#2778197 QC-CR#2835930	ज़्यादा	कर्नेल
CVE-2021-1939	A-187073199 QC-CR#2826994	ज़्यादा	डिसप्ले
CVE-2021-1947	A-187074483 QC-CR#2840102 [2] [3] [4]	ज़्यादा	डिसप्ले
CVE-2021-1978	A-187074565 QC-CR#2859124	ज़्यादा	वाई-फ़ाई

Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट

इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा से जुड़े ब्यौरे या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	कॉम्पोनेंट
CVE-2021-1916	A-179040380 *	सबसे अहम	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-1919	A-179040019 *	सबसे अहम	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-1920	A-179040550 *	सबसे अहम	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-1914	A-179040552 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-30260	A-187073203 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-30261	A-187073202 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

01-08-2021 या उसके बाद के सिक्योरिटी पैच लेवल, 01-08-2021 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
05-08-2021 या उसके बाद के सिक्योरिटी पैच लेवल, 05-08-2021 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:

[ro.build.version.security_patch]:[2021-08-01]
[ro.build.version.security_patch]:[2021-08-05]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-08-2021 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?

इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

जिन डिवाइसों में 01-08-2021 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
जिन डिवाइसों में 05-08-2021 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए, सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.

संक्षेपण	परिभाषा
आरसीई	रिमोट कोड को चलाना
EoP	प्रिविलेज एस्कलेशन
आईडी	जानकारी ज़ाहिर करना
डीओएस	सेवा में रुकावट
लागू नहीं	क्लासिफ़िकेशन उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.

प्रीफ़िक्स	रेफ़रंस
A-	Android गड़बड़ी का आईडी
QC-	Qualcomm का रेफ़रंस नंबर
M-	MediaTek का रेफ़रंस नंबर
N-	NVIDIA का रेफ़रंस नंबर
B-	Broadcom का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से उपलब्ध होते हैं.

6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को, इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel के बुलेटिन के बीच क्यों बांटा जाता है?

इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सुरक्षा पैच का नया लेवल तय किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में बताई गई अतिरिक्त सुरक्षा से जुड़ी कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन	तारीख	नोट
1.0	2 अगस्त, 2021	बुलेटिन पब्लिश किया गया
1.1	4 अगस्त, 2021	AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया