Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-09-2022 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
पब्लिकेशन से कम से कम एक महीने पहले, Android पार्टनर को सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए जाएंगे. AOSP के लिंक उपलब्ध होने पर, हम इस सूचना में बदलाव करेंगे.
इनमें से सबसे गंभीर समस्या, फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी गंभीर समस्या है. इसकी वजह से, स्थानीय स्तर पर ऐक्सेस लेवल को बढ़ाया जा सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. गंभीरता का आकलन इस बात पर आधारित होता है कि किसी डिवाइस पर कमज़ोरी का फ़ायदा उठाने से, उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने वाली सुविधाएं बंद की गई हैं या नहीं या उन्हें बाईपास कर दिया गया है.
Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुरक्षा उपायों और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के उपाय सेक्शन देखें. इन उपायों से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस टेबल में, Android के सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect से मिलने वाले सुरक्षा उपायों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.
01-09-2022 के सुरक्षा पैच लेवल की कमज़ोरी के बारे में जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी देते हैं जो 01-09-2022 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
Android रनटाइम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2022-22822 | A-219942275 | EoP | ज़्यादा | 10, 11, 12, 12L |
| CVE-2022-23852 | A-221255869 | EoP | ज़्यादा | 10, 11, 12, 12L |
| CVE-2022-23990 | A-221256678 | EoP | ज़्यादा | 10, 11, 12, 12L |
| CVE-2022-25314 | A-221384482 | EoP | ज़्यादा | 10, 11, 12, 12L |
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2022-20218 | A-223907044 | EoP | ज़्यादा | 12, 12L |
| CVE-2022-20392 | A-213323615 [2] | EoP | ज़्यादा | 10, 11, 12, 12L |
| CVE-2022-20393 | A-233735886 | आईडी | ज़्यादा | 11, 12, 12L |
| CVE-2022-20197 | A-208279300 | EoP | काफ़ी हद तक ठीक है | 10, 11, 12, 12L |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस की अनुमति बढ़ सकती है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2022-20395 | A-221855295 | EoP | ज़्यादा | 11, 12, 12L, 13 |
| CVE-2022-20398 | A-221859734 | EoP | ज़्यादा | 13 |
| CVE-2022-20396 | A-234440688 | आईडी | ज़्यादा | 12L, 13 |
Google Play के सिस्टम अपडेट
Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| कॉम्पोनेंट | CVE |
|---|---|
| Permission Controller, Permission Controller | CVE-2022-20218 |
| MediaProvider | CVE-2022-20395 |
| वाई-फ़ाई | CVE-2022-20398 |
05-09-2022 को जारी किए गए सुरक्षा पैच के लेवल की कमज़ोरी के बारे में जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी देते हैं जो 05-09-2022 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
कर्नेल
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नेटवर्क डेटा की स्थानीय जानकारी ज़ाहिर हो सकती है. इसके लिए, आपको अतिरिक्त अनुमतियां देने की ज़रूरत नहीं है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2022-20399 | A-219808546
अपस्ट्रीम कर्नेल |
आईडी | ज़्यादा | SELinux |
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, सिस्टम लाइब्रेरी में स्थानीय स्तर पर विशेषाधिकार बढ़ सकते हैं. इसके लिए, प्रोग्राम को चलाने के लिए किसी अन्य विशेषाधिकार की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2021-4083 | A-216408350
अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | कर्नेल |
| CVE-2022-29582 | A-231494876
अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | fs |
Imagination Technologies
इन कमजोरियों का असर, Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, सीधे Imagination Technologies से ली जा सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Imagination Technologies करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2021-0697 | A-238918403* | ज़्यादा | PowerVR-GPU |
| CVE-2021-0942 | A-238904312* | ज़्यादा | PowerVR-GPU |
| CVE-2021-0943 | A-238916921* | ज़्यादा | PowerVR-GPU |
| CVE-2021-0871 | A-238921253* | ज़्यादा | PowerVR-GPU |
MediaTek के कॉम्पोनेंट
इस समस्या का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इस समस्या की गंभीरता का आकलन, सीधे MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2022-26447 | A-237956326
M-ALPS06784478* |
ज़्यादा | ब्लूटूथ फ़र्मवेयर |
Unisoc के कॉम्पोनेंट
इन कमजोरियों का असर Unisoc के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Unisoc से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, Unisoc सीधे तौर पर करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2022-20385 | A-238379819 U-1903041* |
ज़्यादा | कर्नेल |
| CVE-2022-20386 | A-238227328
U-1903099* |
ज़्यादा | Android |
| CVE-2022-20387 | A-238227324 U-1872920* |
ज़्यादा | Android |
| CVE-2022-20388 | A-238227323 U-1872920* |
ज़्यादा | Android |
| CVE-2022-20389 | A-238257004 U-1872920* |
ज़्यादा | Android |
| CVE-2022-20390 | A-238257002
U-1872920* |
ज़्यादा | Android |
| CVE-2022-20391 | A-238257000 U-1872920* |
ज़्यादा | Android |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2022-22095 | A-223210037 QC-CR#3168780 QC-CR#3088894 |
ज़्यादा | कर्नेल |
| CVE-2022-25656 | A-228101796 QC-CR#3119439 [2] QC-CR#2998082 [2] |
ज़्यादा | कर्नेल |
| CVE-2022-25670 | A-235102548 QC-CR#3104235 |
ज़्यादा | वाई-फ़ाई |
| CVE-2022-25693 | A-235102897 QC-CR#3141474 |
ज़्यादा | डिसप्ले |
| CVE-2022-25704 | A-235102694 QC-CR#3155069 [2] |
ज़्यादा | ब्लूटूथ |
| CVE-2022-25706 | A-235102901 QC-CR#3155132 |
ज़्यादा | ब्लूटूथ |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|
| CVE-2022-25708 | A-235102756* | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-22066 | A-223209292* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-22074 | A-235102567* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-22081 | A-235102758* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-22089 | A-235102568* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-22091 | A-223209291* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-22092 | A-223211216* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-22093 | A-223209815* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-22094 | A-223210036* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-25669 | A-235102508* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-25686 | A-235102899* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-25688 | A-235102421* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-25690 | A-235102422* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2022-25696 | A-235102900* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-09-2022 या उसके बाद के सुरक्षा पैच लेवल, 01-09-2022 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 05-09-2022 या उसके बाद के सिक्योरिटी पैच लेवल, 05-09-2022 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2022-09-01]
- [ro.build.version.security_patch]:[2022-09-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में, तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-09-2022 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस सूचना में दो सिक्योरिटी पैच लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-09-2022 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 05-09-2022 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन पर वे काम कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए बने सबसे नए बिटरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से डाउनलोड किए जा सकते हैं.
6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel के बुलेटिन के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सबसे नए सिक्योरिटी पैच लेवल का एलान किया जाता है. सुरक्षा से जुड़ी जोखिमों की जानकारी, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में दी जाती है. हालांकि, सुरक्षा पैच लेवल का एलान करने के लिए, इन जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 6 सितंबर, 2022 | बुलेटिन पब्लिश किया गया |
| 1.1 | 9 सितंबर, 2022 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया बदली गई सीवीई टेबल |