Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. सुरक्षा पैच के 05-01-2022 या उसके बाद के लेवल पर, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच के लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को सभी समस्याओं की सूचना, पब्लिकेशन से कम से कम एक महीने पहले दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ किए गए हैं और इस सूचना पत्र से लिंक किए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं
इनमें से सबसे गंभीर समस्या, Android के रनटाइम कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, कोई स्थानीय हमलावर अतिरिक्त अनुमतियों का ऐक्सेस पाने के लिए, मेमोरी से जुड़ी पाबंदियों को बायपास कर सकता है. गंभीर समस्या का आकलन, इस बात पर आधारित होता है कि किसी डिवाइस पर इस समस्या का असर क्या होगा. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कम करने वाली सुविधाएं बंद हैं या नहीं या उन्हें बायपास किया गया है या नहीं.
Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा से जुड़ी सुविधाओं वाले सेक्शन पर जाएं. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect से मिलने वाले सुरक्षा उपायों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google Mobile Services वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और सोर्स से ऐप्लिकेशन इंस्टॉल करते हैं.
01-01-2022 के सुरक्षा पैच लेवल की समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-01-2022 के पैच लेवल पर लागू होती है. जोखिम, उन कॉम्पोनेंट के हिसाब से ग्रुप किए जाते हैं जिन पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को, सुरक्षा अपडेट के साथ-साथ Google Play के सिस्टम अपडेट भी मिल सकते हैं.
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को बायपास करने में मदद मिल सकती है. इससे, वह ऐप्लिकेशन अतिरिक्त अनुमतियों का ऐक्सेस पा सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-39630 | A-202768292 | EoP | ज़्यादा | 12 |
| CVE-2021-39632 | A-202159709 | EoP | ज़्यादा | 11, 12 |
| CVE-2020-0338 | A-123700107 | आईडी | ज़्यादा | 9, 10 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद जोखिम की वजह से, रिमोट से ऐक्सेस करने की अनुमति बढ़ सकती है. इसके लिए, न तो किसी और अनुमति की ज़रूरत होती है और न ही उपयोगकर्ता के इंटरैक्शन की.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-39623 | A-194105348 | EoP | ज़्यादा | 9, 10, 11, 12 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर समस्या की वजह से, स्थानीय ऐक्सेस वाले हमलावर, उपयोगकर्ता की सहमति के बिना मौजूदा पैकेज इंस्टॉल कर सकते हैं.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-39618 | A-196855999 * | EoP | ज़्यादा | 9, 10, 11, 12 |
| CVE-2021-39620 | A-203847542 | EoP | ज़्यादा | 11, 12 |
| CVE-2021-39621 | A-185126319 | EoP | ज़्यादा | 9, 10, 11, 12 |
| CVE-2021-39622 | A-192663648 * | EoP | ज़्यादा | 10, 11, 12 |
| CVE-2021-39625 | A-194695347 * | EoP | ज़्यादा | 9, 10, 11, 12 |
| CVE-2021-39626 | A-194695497 | EoP | ज़्यादा | 9, 10, 11, 12 |
| CVE-2021-39627 | A-185126549 | EoP | ज़्यादा | 9, 10, 11, 12 |
| CVE-2021-39629 | A-197353344 | EoP | ज़्यादा | 9, 10, 11, 12 |
| CVE-2021-0643 | A-183612370 | आईडी | ज़्यादा | 10, 11, 12 |
| CVE-2021-39628 | A-189575031 | आईडी | ज़्यादा | 10, 11 |
| CVE-2021-39659 | A-208267659 | डीओएस | ज़्यादा | 10, 11, 12 |
Google Play के सिस्टम अपडेट
इस महीने, Google Play के सिस्टम अपडेट (Project Mainline) में सुरक्षा से जुड़ी कोई समस्या ठीक नहीं की गई है.
05-01-2022 के सिक्योरिटी पैच लेवल की कमज़ोरी की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-01-2022 के पैच लेवल पर लागू होती हैं. जोखिम, उन कॉम्पोनेंट के हिसाब से ग्रुप किए जाते हैं जिन पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. जब उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
Android रनटाइम
इस सेक्शन में मौजूद जोखिम की वजह से, कोई स्थानीय हमलावर अतिरिक्त अनुमतियों का ऐक्सेस पाने के लिए, स्मृति से जुड़ी पाबंदियों को बायपास कर सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2021-0959 | A-200284993 | EoP | ज़्यादा | 12 |
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रेस कंडीशन की वजह से स्थानीय स्तर पर विशेषाधिकार बढ़ सकते हैं. इसके लिए, अतिरिक्त अनुमतियों या उपयोगकर्ता इंटरैक्शन की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2021-39634 | A-204450605 अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | कर्नेल |
| CVE-2021-39633 | A-150694665 अपस्ट्रीम कर्नेल |
आईडी | ज़्यादा | कर्नेल |
Kernel LTS
इन कर्नेल वर्शन को अपडेट कर दिया गया है.
| रेफ़रंस | Android का लॉन्च वर्शन | Kernel का लॉन्च वर्शन | कम से कम लॉन्च वर्शन |
|---|---|---|---|
| A-182179492 | 11 | 5.4 | 5.4.86 |
MediaTek के कॉम्पोनेंट
इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2021-31345 | A-207693368 M- MOLY00756840 * |
ज़्यादा | मॉडेम (Nucleus NET टीसीपी/आईपी) |
| CVE-2021-31346 | A-207646334 M-MOLY00756840 * |
ज़्यादा | मॉडेम (Nucleus NET टीसीपी/आईपी) |
| CVE-2021-31890 | A-207646336 M-MOLY00756840 * |
ज़्यादा | मॉडेम (Nucleus NET टीसीपी/आईपी) |
| CVE-2021-40148 | A-204728248 M-MOLY00716585 * |
ज़्यादा | मॉडम ईएमएम |
| CVE-2021-31889 | A-207646335 M-MOLY00756840 * |
ज़्यादा | मॉडेम (Nucleus NET टीसीपी/आईपी) |
Unisoc के कॉम्पोनेंट
इस समस्या का असर Unisoc के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Unisoc से संपर्क करें. इस समस्या की गंभीरता का आकलन, सीधे Unisoc करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2021-1049 | A-204256722 U-1733219 * |
ज़्यादा | slogmodem |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2021-30319 | A-202025735 QC-CR#2960714 |
ज़्यादा | वाई-फ़ाई |
| CVE-2021-30353 | A-202025599 QC-CR#2993069 [2] |
ज़्यादा | ऑडियो |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2021-30285 | A-193070555 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2021-30287 | A-193070556 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2021-30300 | A-193071116 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2021-30301 | A-193070342 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2021-30307 | A-193070700 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2021-30308 | A-193070594 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2021-30311 | A-193070557 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-01-2022 या उसके बाद के सुरक्षा पैच लेवल, 01-01-2 2022 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
- 05-01-2022 या इसके बाद के सिक्योरिटी पैच लेवल, 05-01-2022 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2022-01-01]
- [ro.build.version.security_patch]:[2022-01-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-01-2022 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में दो सिक्योरिटी पैच लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद मिलती-जुलती कमजोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-01-2022 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए.
- जिन डिवाइसों में 05-01-2022 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए, सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से मिलते हैं.
6. सुरक्षा से जुड़ी कमजोरियों को इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel के बुलेटिन के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के लिए, Android डिवाइसों पर सबसे नए सिक्योरिटी पैच लेवल का एलान करना ज़रूरी है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस / पार्टनर के सिक्योरिटी बुलेटिन में बताई गई सुरक्षा से जुड़ी अन्य कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमज़ोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 4 जनवरी, 2022 | बुलेटिन रिलीज़ किया गया |
| 1.1 | 5 जनवरी, 2022 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया |
| 2.0 | 10 जनवरी, 2022 | बदली गई सीवीई टेबल |