हमारा सुझाव है कि 27 मार्च, 2025 से AOSP को बनाने और उसमें योगदान देने के लिए, aosp-main के बजाय android-latest-release का इस्तेमाल करें. ज़्यादा जानकारी के लिए, AOSP में हुए बदलाव लेख पढ़ें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

Android सुरक्षा बुलेटिन—जून 2022
संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

पब्लिश करने की तारीख: 6 जून, 2022 | अपडेट करने की तारीख: 22 जुलाई, 2022

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-06-2022 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को हल करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के रिपॉज़िटरी में रिलीज़ किए गए हैं. साथ ही, इन्हें इस बुलेटिन से लिंक किया गया है. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, रिमोट कोड प्रोग्राम को बिना किसी अतिरिक्त अनुमति के चलाया जा सकता है. गंभीर समस्या का आकलन, इस बात पर आधारित होता है कि किसी डिवाइस पर कमज़ोरी का इस्तेमाल करने से, उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने वाली सुविधाएं बंद हैं या नहीं या फिर उन्हें बाईपास कर दिया गया है.

Android और Google Play Protect के ज़रिए, खतरों को कम करने वाले सेक्शन में जाकर, Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में जानें. इनसे Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.

Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना

इस टेबल में, Android सुरक्षा प्लैटफ़ॉर्म और सेवाओं को सुरक्षित रखने वाली सुविधाओं, जैसे कि Google Play Protect से जुड़ी सुरक्षा से जुड़ी जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.

01-06-2022 को जारी किए गए सुरक्षा पैच के लेवल में मौजूद जोखिम की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-06-2022 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.

फ़्रेमवर्क

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2021-39691	A-157929241	EoP	ज़्यादा	10, 11, 12
CVE-2022-20006	A-151095871	EoP	ज़्यादा	10, 11, 12, 12L
CVE-2022-20125	A-194402515	EoP	ज़्यादा	10, 11, 12, 12L
CVE-2022-20138	A-210469972 [2]	EoP	ज़्यादा	10, 11, 12, 12L

मीडिया फ़्रेमवर्क

इस सेक्शन में मौजूद जोखिम की वजह से, रिमोट कोड प्रोग्राम चलाया जा सकता है. इसके लिए, प्रोग्राम चलाने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2022-20130	A-224314979	आरसीई	सबसे अहम	10, 11, 12, 12L

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट कोड प्रोग्राम चलाया जा सकता है. इसके लिए, प्रोग्राम चलाने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2022-20127	A-221862119	आरसीई	सबसे अहम	10, 11, 12, 12L
CVE-2022-20140	A-227618988	EoP	सबसे अहम	12, 12L
CVE-2022-20145	A-201660636	EoP	सबसे अहम	11
CVE-2022-20126	A-203431023	EoP	ज़्यादा	10, 11, 12, 12L
CVE-2022-20133	A-206807679	EoP	ज़्यादा	10, 11, 12, 12L
CVE-2022-20134	A-218341397 [2]	EoP	ज़्यादा	10, 11, 12, 12L
CVE-2022-20135	A-220303465	EoP	ज़्यादा	10, 11, 12, 12L
CVE-2022-20137	A-206986392	EoP	ज़्यादा	12, 12L
CVE-2022-20142	A-216631962	EoP	ज़्यादा	10, 11, 12, 12L
CVE-2022-20147	A-221216105	EoP	ज़्यादा	10, 11, 12, 12L
CVE-2022-20123	A-221852424	आईडी	ज़्यादा	10, 11, 12, 12L
CVE-2022-20131	A-221856662	आईडी	ज़्यादा	10, 11, 12, 12L
CVE-2022-20129	A-217934478 [2]	डीओएस	ज़्यादा	10, 11, 12, 12L
CVE-2022-20143	A-220735360	डीओएस	ज़्यादा	10, 11, 12, 12L

Google Play के सिस्टम अपडेट

Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

कॉम्पोनेंट	CVE
मीडिया कोडेक	CVE-2022-20130

05-06-2022 को जारी किए गए सुरक्षा पैच के लेवल में मौजूद जोखिम की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-06-2022 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

Kernel कॉम्पोनेंट

CVE	रेफ़रंस	टाइप	गंभीरता	कॉम्पोनेंट
CVE-2021-4154	A-218836280 अपस्ट्रीम कर्नेल	EoP	ज़्यादा	कर्नेल
CVE-2022-20141	A-112551163 अपस्ट्रीम कर्नेल	EoP	ज़्यादा	Inet सॉकेट
CVE-2022-24958	A-220261709 अपस्ट्रीम कर्नेल [2] [3] [4]	EoP	ज़्यादा	यूएसबी
CVE-2022-25258	A-222023189 अपस्ट्रीम कर्नेल [2]	EoP	ज़्यादा	यूएसबी
CVE-2022-20132	A-188677105 अपस्ट्रीम कर्नेल [2] [3] [4] [5] [6] [7]	आईडी	ज़्यादा	यूएसबी एचआईडी
CVE-2022-25375	A-162326603 अपस्ट्रीम कर्नेल	आईडी	ज़्यादा	RNDIS ड्राइवर

MediaTek के कॉम्पोनेंट

इस समस्या का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इस समस्या की गंभीरता का आकलन, सीधे MediaTek करता है.

CVE	रेफ़रंस	गंभीरता	कॉम्पोनेंट
CVE-2022-21745	A-228972609 M-ALPS06468872*	ज़्यादा	वाई-फ़ाई फ़र्मवेयर

Unisoc के कॉम्पोनेंट

इस समस्या का असर Unisoc के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Unisoc से संपर्क करें. इस समस्या की गंभीरता का आकलन, Unisoc सीधे तौर पर करता है.

CVE	रेफ़रंस	गंभीरता	कॉम्पोनेंट
CVE-2022-20210	A-228868888 U-1770644*	सबसे अहम	मॉडम

Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट

इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	कॉम्पोनेंट
CVE-2021-35083	A-209481130*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-35102	A-209469926*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-35111	A-209469960*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2022-22082	A-223211217*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2022-22083	A-223210917*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2022-22084	A-223209816 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2022-22085	A-223209306*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2022-22086	A-223211218*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2022-22087	A-223209610*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2022-22090	A-223210918*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

01-06-2022 या उसके बाद के सुरक्षा पैच के लेवल, 01-06-2022 के सुरक्षा पैच के लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
05-06-2022 या उसके बाद के सिक्योरिटी पैच लेवल, 05-06-2022 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:

[ro.build.version.security_patch]:[2022-06-01]
[ro.build.version.security_patch]:[2022-06-05]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-06-2022 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?

इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के सबसे नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

जिन डिवाइसों में 01-06-2022 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
जिन डिवाइसों में 05-06-2022 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए, सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.

संक्षेपण	परिभाषा
आरसीई	रिमोट कोड को चलाना
EoP	प्रिविलेज एस्कलेशन
आईडी	जानकारी ज़ाहिर करना
डीओएस	सेवा में रुकावट
लागू नहीं	क्लासिफ़िकेशन उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.

प्रीफ़िक्स	रेफ़रंस
A-	Android गड़बड़ी का आईडी
QC-	Qualcomm का रेफ़रंस नंबर
M-	MediaTek का रेफ़रंस नंबर
N-	NVIDIA का रेफ़रंस नंबर
B-	Broadcom का रेफ़रंस नंबर
U-	UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से मिलते हैं.

6. सुरक्षा से जुड़ी समस्याओं को इस सूचना और डिवाइस / पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?

इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सुरक्षा पैच का नया लेवल तय किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में बताई गई अतिरिक्त सुरक्षा से जुड़ी कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन	तारीख	अहम जानकारी
1.0	6 जून, 2022	बुलेटिन पब्लिश किया गया
1.1	7 जून, 2022	AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया
2.0	28 जून, 2022	बदली गई सीवीई टेबल
3.0	22 जुलाई, 2022	बदली गई सीवीई टेबल
4.0	28 जुलाई, 2022	बदली गई सीवीई टेबल