Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-12-2021 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को सभी समस्याओं की सूचना, पब्लिकेशन से कम से कम एक महीने पहले दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ किए गए हैं और इस सूचना पत्र से लिंक किए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं
इनमें से सबसे गंभीर समस्या, मीडिया फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, रिमोट से जानकारी को ज़ाहिर किया जा सकता है. इसके लिए, किसी अतिरिक्त अनुमति की ज़रूरत नहीं होती. गंभीरता का आकलन इस बात पर आधारित होता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने के उपाय बंद किए गए हैं या नहीं या उन्हें बाईपास कर दिया गया है.
Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए सुरक्षा को बेहतर बनाने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect से मिलने वाले सुरक्षा उपायों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि जहां भी हो सके, सभी उपयोगकर्ता अपने डिवाइस को Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं.
01-12-2021 के सुरक्षा पैच लेवल की समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-12-2021 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर समस्या की वजह से, स्थानीय हमलावर, बिना किसी विशेषाधिकार या उपयोगकर्ता के इंटरैक्शन के, मेमोरी को खराब कर सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0955 | A-192085766 | EoP | ज़्यादा | 11 |
| CVE-2021-0970 | A-196970023 | EoP | ज़्यादा | 9, 10, 11, 12 |
| CVE-2021-0704 | A-179338675 | आईडी | ज़्यादा | 9, 10, 11 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, जानकारी को रिमोट से ऐक्सेस किया जा सकता है. इसके लिए, किसी अतिरिक्त अनुमति की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0967 | A-199065614 | आईडी | ज़्यादा | 10, 11, 12 |
| आरसीई | सबसे अहम | 9 | ||
| CVE-2021-0964 | A-193363621 | आईडी | ज़्यादा | 9, 10, 11, 12 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0968 | A-197868577 | आरसीई | सबसे अहम | 9, 10, 11, 12 |
| CVE-2021-0956 | A-189942532 | EoP | सबसे अहम | 11, 12 |
| CVE-2021-0953 | A-184046278 | EoP | ज़्यादा | 9, 10, 11, 12 |
| CVE-2021-0954 | A-143559931 | EoP | ज़्यादा | 10, 11 |
| CVE-2021-0963 | A-199754277 [2] | EoP | ज़्यादा | 9, 10, 11, 12 |
| CVE-2021-0965 | A-194300867 | EoP | ज़्यादा | 9, 10, 11, 12 |
| CVE-2021-0952 | A-195748381 | आईडी | ज़्यादा | 9, 10, 11, 12 |
| CVE-2021-0966 | A-198346478 | आईडी | ज़्यादा | 11, 12 |
| CVE-2021-0958 | A-200041882 | डीओएस | काफ़ी हद तक ठीक है | 11, 12 |
| CVE-2021-0969 | A-199922685 | डीओएस | काफ़ी हद तक ठीक है | 10, 11 |
Google Play के सिस्टम अपडेट
Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| कॉम्पोनेंट | CVE |
|---|---|
| मीडिया कोडेक | CVE-2021-0964 |
| मीडिया कोडेक, मीडिया फ़्रेमवर्क के कॉम्पोनेंट | CVE-2021-0967 |
05-12-2021 को जारी किए गए सुरक्षा पैच के लेवल में मौजूद जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी देते हैं जो 05-12-2021 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद जोखिम की वजह से, किसी भी अतिरिक्त अनुमति के बिना, रिमोट से जानकारी को ज़ाहिर किया जा सकता है.| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0971 | A-188893559 | आईडी | ज़्यादा | 9, 10, 11, 12 |
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, पूर्णांक ओवरफ़्लो, आउट-ऑफ़-बाउंड लिखने की सुविधा, और बिना अनुमति वाले उपयोगकर्ता के रूट में बदलाव करने की सुविधा मिल सकती है.| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2021-33909 |
A-195082750
अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | फ़ाइल सिस्टम |
| CVE-2021-38204 |
A-196448784
अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | यूएसबी |
| CVE-2021-0961 |
A-196046570
अपस्ट्रीम कर्नेल [2] [3] |
आईडी | काफ़ी हद तक ठीक है | netfilter |
MediaTek के कॉम्पोनेंट
इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट | |
|---|---|---|---|---|
|
CVE-2021-0675 |
A-201895896
M-ALPS06064258 * |
ज़्यादा | alac डीकोडर | |
|
CVE-2021-0904 |
A-201779035
M-ALPS06076938 * |
ज़्यादा | SRAMROM |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट | |
|---|---|---|---|---|
|
CVE-2021-30262 |
A-190402578
QC-CR#2774954 |
ज़्यादा | मॉडम | |
|
CVE-2021-30335 |
A-199191310
QC-CR#2964455 |
ज़्यादा | कर्नेल | |
|
CVE-2021-30337 |
A-199190644
QC-CR#2971293 |
ज़्यादा | कर्नेल |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट | |
|---|---|---|---|---|
|
CVE-2021-30275 |
A-190403081 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30276 |
A-190404445 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30351 |
A-201430561 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2020-11263 |
A-190404447 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-1894 |
A-190404405 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-1918 |
A-190403729 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30267 |
A-190403212 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30268 |
A-190404446 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30269 |
A-190403511 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30270 |
A-190402575 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30271 |
A-190404402 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30272 |
A-190404323 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30273 |
A-190404403 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30274 |
A-190403731 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30278 |
A-190403213 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30279 |
A-190402580 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30282 |
A-190404328 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30283 |
A-190403513 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30289 |
A-190404404 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30293 |
A-190404327 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30303 |
A-199192449 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
|
CVE-2021-30336 |
A-199191065 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
Google Play के सिस्टम अपडेट
Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| कॉम्पोनेंट | CVE |
|---|---|
| मीडिया फ़्रेमवर्क के कॉम्पोनेंट | CVE-2021-0971 |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-12-2021 या उसके बाद के सिक्योरिटी पैच लेवल, 01-12-2021 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
- 05-12-2021 या इसके बाद के सिक्योरिटी पैच लेवल, 05-12-2021 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2021-12-01]
- [ro.build.version.security_patch]:[2021-12-05]
Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-12-2021 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-12-2021 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 05-12-2021 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए, सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से उपलब्ध होते हैं.
6. सुरक्षा से जुड़ी समस्याओं को इस सूचना और डिवाइस / पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सुरक्षा पैच का नया लेवल तय किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में बताई गई अतिरिक्त सुरक्षा से जुड़ी कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | अहम जानकारी |
|---|---|---|
| 1.0 | 6 दिसंबर, 2021 | बुलेटिन रिलीज़ किया गया |
| 1.1 | 8 दिसंबर, 2021 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया |