पब्लिश करने की तारीख: 4 अक्टूबर, 2021 | अपडेट करने की तारीख: 29 नवंबर, 2021
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-10-2021 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
पब्लिकेशन से कम से कम एक महीने पहले, Android पार्टनर को सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के रिपॉज़िटरी में रिलीज़ किए गए हैं. साथ ही, इन्हें इस सूचना से लिंक किया गया है. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर कमजोरी है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार किए गए ट्रांसमिशन का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस बात को ध्यान में रखकर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा के लिए कमज़ोरी को कम करने वाले उपाय बंद किए गए हैं या नहीं. इसके अलावा, यह भी ध्यान में रखा जाता है कि कमज़ोरी को बायपास किया गया है या नहीं.
Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए सुरक्षा को बेहतर बनाने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect से मिलने वाले सुरक्षा उपायों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि जहां भी हो सके, सभी उपयोगकर्ता अपने डिवाइस को Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं.
01-10-2021 के सुरक्षा पैच लेवल की समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-10-2021 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
Android रनटाइम
इस सेक्शन में मौजूद जोखिम की वजह से, डिवाइस का फ़िज़िकल ऐक्सेस रखने वाला कोई स्थानीय हमलावर, अतिरिक्त अनुमतियों का ऐक्सेस पाने के लिए, आर्बिट्रेरी कोड चला सकता है.| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0703 | A-184569329 | EoP | ज़्यादा | 11 |
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0652 | A-185178568 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2021-0705 | A-185388103 | EoP | ज़्यादा | 10, 11 |
| CVE-2021-0708 | A-183262161 | EoP | ज़्यादा | 8.1, 9, 10, 11 |
| CVE-2020-15358 | A-192605364 | आईडी | ज़्यादा | 11 |
| CVE-2021-0702 | A-193932765 | आईडी | ज़्यादा | 11 |
| CVE-2021-0651 | A-67013844 | डीओएस | ज़्यादा | 9, 10, 11 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को, खास सुविधाओं वाली प्रोसेस के दायरे में आर्बिट्ररी कोड चलाने की अनुमति मिल सकती है.| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0483 | A-153358911 [2] | EoP | ज़्यादा | 10, 11 |
Google Play के सिस्टम अपडेट
इस महीने, Google Play के सिस्टम अपडेट (Project Mainline) में सुरक्षा से जुड़ी कोई समस्या हल नहीं की गई है.
05-10-2021 को जारी किए गए सुरक्षा पैच के लेवल में मौजूद जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-10-2021 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
सिस्टम
इस सेक्शन में मौजूद जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार किए गए ट्रांसमिशन का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0870 | A-192472262 | आरसीई | सबसे अहम | 8.1, 9, 10, 11 |
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, कोई स्थानीय हमलावर, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2020-29660 |
A-175451844
अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | टीटीवाई |
| CVE-2020-10768 |
A-169505929
अपस्ट्रीम कर्नेल |
आईडी | ज़्यादा | i86 Spectre v2 से जुड़ी सुरक्षा सुविधाएं |
| CVE-2021-29647 |
A-184622099
अपस्ट्रीम कर्नेल |
आईडी | ज़्यादा | Qualcomm IPC राऊटर के लिए सहायता |
दूरसंचार
इस सेक्शन में मौजूद जोखिम की वजह से, रिमोट से जानकारी को ज़ाहिर किया जा सकता है. इसके लिए, किसी अतिरिक्त अनुमति की ज़रूरत नहीं होती.| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2021-27666 | A-180401789 * | आईडी | ज़्यादा | मॉडम |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट | |
|---|---|---|---|---|
|
CVE-2020-11264 |
A-175608649
QC-CR#2860206 [2] |
सबसे अहम | वाई-फ़ाई | |
|
CVE-2020-11301 |
A-179929247
QC-CR#2860198 * QC-CR#2867022 [2] [3] |
सबसे अहम | वाई-फ़ाई | |
|
CVE-2020-24587 |
A-175626671
QC-CR#2860131 QC-CR#2868012 * QC-CR#2875946 [2] QC-CR#2875950 QC-CR#2874366 |
ज़्यादा | वाई-फ़ाई | |
|
CVE-2020-24588 |
A-175626624
QC-CR#2866467 * QC-CR#2867578 * QC-CR#2867994 QC-CR#2868616 * QC-CR#2877094 * QC-CR#2879013 * QC-CR#2883162 * QC-CR#2886422 * QC-CR#2888466 * QC-CR#2890623 * QC-CR#2896070 * QC-CR#2896369 * QC-CR#2861800 [2] [3] [4] [5] QC-CR#2943860 * |
ज़्यादा | वाई-फ़ाई | |
|
CVE-2020-26139 |
A-177911151
QC-CR#2860248 QC-CR#2868054 QC-CR#2888227 QC-CR#2888467 QC-CR#2942096 QC-CR#2943789 [2] [3] [4] [5] QC-CR#2867013 * |
ज़्यादा | वाई-फ़ाई | |
|
CVE-2020-26141 |
A-177911676
QC-CR#2869483 |
ज़्यादा | वाई-फ़ाई | |
|
CVE-2020-26145 |
A-177910901
QC-CR#2860245 QC-CR#2868035 * QC-CR#2893212 |
ज़्यादा | वाई-फ़ाई | |
|
CVE-2020-26146 |
A-175626808
QC-CR#2860242 QC-CR#2874369 |
ज़्यादा | वाई-फ़ाई | |
|
CVE-2021-1977 |
A-193070701
QC-CR#2859024 [2] |
ज़्यादा | वाई-फ़ाई | |
|
CVE-2021-1980 |
A-190404330
QC-CR#2873394 |
ज़्यादा | वाई-फ़ाई | |
|
CVE-2021-30305 |
A-193070437
QC-CR#2913910 |
ज़्यादा | डिसप्ले | |
|
CVE-2021-30306 |
A-193071117
QC-CR#2915692 |
ज़्यादा | ऑडियो | |
|
CVE-2021-30312 |
A-193070595
QC-CR#2948107 [2] |
ज़्यादा | वाई-फ़ाई |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट | |
|---|---|---|---|---|
|
CVE-2020-11303 |
A-193070323 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-26140 |
A-177911345 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-26147 |
A-177910719 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-1913 |
A-184561641 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-1917 |
A-184561580 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-1932 |
A-184561562 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-1936 |
A-184561359 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-1949 |
A-184561794 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-1959 |
A-184561776 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-1983 |
A-190402581 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-1984 |
A-190403732 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-1985 |
A-190404406 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30256 |
A-190404960 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30257 |
A-190403214 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30258 |
A-190404449 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30288 |
A-193069567 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30291 |
A-190404407 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30292 |
A-190404329 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30297 |
A-190403733 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30302 |
A-193070343 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30310 |
A-193070558 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-10-2021 या उसके बाद के सिक्योरिटी पैच लेवल, 01-10-2021 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 05-10-2021 या उसके बाद के सिक्योरिटी पैच लेवल, 05-10-2021 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2021-10-01]
- [ro.build.version.security_patch]:[2021-10-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-10-2021 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-10-2021 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक करने के तरीके भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों पर 05-10-2021 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए, सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से उपलब्ध होते हैं.
6. सुरक्षा से जुड़ी समस्याओं को इस सूचना और डिवाइस / पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सुरक्षा पैच का नया लेवल तय किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में बताई गई अतिरिक्त सुरक्षा से जुड़ी कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 4 अक्टूबर, 2021 | बुलेटिन रिलीज़ किया गया |
| 1.1 | 6 अक्टूबर, 2021 | बुलेटिन में बदलाव किया गया |
| 1.2 | 11 अक्टूबर, 2021 | बदली गई सीवीई टेबल |
| 1.3 | 15 नवंबर, 2021 | बदली गई सीवीई टेबल |
| 1.4 | 29 नवंबर, 2021 | बदली गई सीवीई टेबल |