Android सुरक्षा बुलेटिन—सितंबर 2022

संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.
6 सितंबर, 2022 को प्रकाशित 9 सितंबर, 2022 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। 2022-09-05 या बाद के सुरक्षा पैच स्तर इन सभी मुद्दों को संबोधित करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण जांचें और अपडेट करें देखें.

प्रकाशन से कम से कम एक महीने पहले Android भागीदारों को सभी मुद्दों के बारे में सूचित किया जाता है। इन मुद्दों के लिए स्रोत कोड पैच अगले 48 घंटों में Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी में जारी कर दिए जाएंगे। हम इस बुलेटिन को AOSP लिंक के साथ उपलब्ध होने पर संशोधित करेंगे।

इनमें से सबसे गंभीर समस्या फ्रेमवर्क घटक में एक उच्च सुरक्षा भेद्यता है जो बिना किसी अतिरिक्त निष्पादन विशेषाधिकार के विशेषाधिकार के स्थानीय वृद्धि का कारण बन सकती है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या सफलतापूर्वक बायपास कर दिया गया है।

Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए Android और Google Play प्रोटेक्ट मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

Android और Google सेवा में कमी

यह Android सुरक्षा प्लेटफ़ॉर्म और Google Play Protect जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play Protect के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play Protect Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम होता है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।

2022-09-01 सुरक्षा पैच स्तर की भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2022-09-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के अंतर्गत वर्गीकृत किया जाता है। समस्याओं को नीचे दी गई तालिका में वर्णित किया गया है और इसमें सीवीई आईडी, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन एओएसपी संस्करण (जहां लागू हो) शामिल हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं। Android 10 और बाद के संस्करण वाले डिवाइस सुरक्षा अपडेट के साथ-साथ Google Play सिस्टम अपडेट प्राप्त कर सकते हैं।

एंड्रॉइड रनटाइम

इस खंड में सबसे गंभीर भेद्यता विशेषाधिकार की स्थानीय वृद्धि का कारण बन सकती है, जिसमें अतिरिक्त निष्पादन विशेषाधिकारों की आवश्यकता नहीं है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2022-22822 ए-219942275 ईओपी उच्च 10, 11, 12, 12एल
सीवीई-2022-23852 ए-221255869 ईओपी उच्च 10, 11, 12, 12एल
सीवीई-2022-23990 ए-221256678 ईओपी उच्च 10, 11, 12, 12एल
सीवीई-2022-25314 ए-221384482 ईओपी उच्च 10, 11, 12, 12एल

रूपरेखा

इस खंड में सबसे गंभीर भेद्यता विशेषाधिकार की स्थानीय वृद्धि का कारण बन सकती है, जिसमें अतिरिक्त निष्पादन विशेषाधिकारों की आवश्यकता नहीं है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2022-20218 ए-223907044 ईओपी उच्च 12, 12एल
सीवीई-2022-20392 ए-213323615 [ 2 ] ईओपी उच्च 10, 11, 12, 12एल
सीवीई-2022-20393 ए-233735886 पहचान उच्च 11, 12, 12एल
सीवीई-2022-20197 ए-208279300 ईओपी संतुलित 10, 11, 12, 12एल

व्यवस्था

इस खंड में सबसे गंभीर भेद्यता विशेषाधिकार की स्थानीय वृद्धि का कारण बन सकती है, जिसमें अतिरिक्त निष्पादन विशेषाधिकारों की आवश्यकता नहीं है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2022-20395 ए-221855295 ईओपी उच्च 11, 12, 12एल, 13
सीवीई-2022-20398 ए-221859734 ईओपी उच्च 13
सीवीई-2022-20396 ए-234440688 पहचान उच्च 12 एल, 13

Google Play सिस्टम अपडेट

निम्नलिखित मुद्दे प्रोजेक्ट मेनलाइन घटकों में शामिल हैं।

अवयव सीवीई
अनुमति नियंत्रक, अनुमति नियंत्रक सीवीई-2022-20218
मीडिया प्रदाता सीवीई-2022-20395
वाई - फाई सीवीई-2022-20398

2022-09-05 सुरक्षा पैच स्तर की भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2022-09-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के अंतर्गत वर्गीकृत किया जाता है। समस्याओं को नीचे दी गई तालिका में वर्णित किया गया है और इसमें सीवीई आईडी, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन एओएसपी संस्करण (जहां लागू हो) शामिल हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

गुठली

इस खंड में सबसे गंभीर भेद्यता नेटवर्क डेटा के स्थानीय सूचना प्रकटीकरण का कारण बन सकती है, जिसमें अतिरिक्त निष्पादन विशेषाधिकारों की आवश्यकता नहीं है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2022-20399 ए-219808546
अपस्ट्रीम कर्नेल
पहचान उच्च सेलिनक्स

कर्नेल घटक

इस खंड में सबसे गंभीर भेद्यता सिस्टम पुस्तकालयों में विशेषाधिकार की स्थानीय वृद्धि का कारण बन सकती है, जिसमें अतिरिक्त निष्पादन विशेषाधिकारों की आवश्यकता नहीं है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2021-4083 ए-216408350
अपस्ट्रीम कर्नेल
ईओपी उच्च गुठली
सीवीई-2022-29582 ए-231494876
अपस्ट्रीम कर्नेल
ईओपी उच्च एफ एस ओ

इमेजिनेशन टेक्नोलॉजीज

ये कमजोरियां इमेजिनेशन टेक्नोलॉजीज घटकों को प्रभावित करती हैं और आगे के विवरण सीधे इमेजिनेशन टेक्नोलॉजीज से उपलब्ध हैं। इन मुद्दों की गंभीरता का आकलन सीधे इमेजिनेशन टेक्नोलॉजीज द्वारा प्रदान किया जाता है।

सीवीई संदर्भ तीव्रता अवयव
सीवीई-2021-0697 ए-238918403 * उच्च पावरवीआर-जीपीयू
सीवीई-2021-0942 ए-238904312 * उच्च पावरवीआर-जीपीयू
सीवीई-2021-0943 ए-238916921 * उच्च पावरवीआर-जीपीयू
सीवीई-2021-0871 ए-238921253 * उच्च पावरवीआर-जीपीयू

मीडियाटेक घटक

यह भेद्यता मीडियाटेक घटकों को प्रभावित करती है और अधिक विवरण सीधे मीडियाटेक से उपलब्ध हैं। इस मुद्दे की गंभीरता का आकलन सीधे मीडियाटेक द्वारा प्रदान किया जाता है।

सीवीई संदर्भ तीव्रता अवयव
सीवीई-2022-26447 ए-237956326
एम-एएलपीएस06784478 *
उच्च बीटी फर्मवेयर

यूनिसोक घटक

ये भेद्यताएं यूनिसोक घटकों को प्रभावित करती हैं और आगे के विवरण सीधे यूनिसोक से उपलब्ध हैं। इन मुद्दों की गंभीरता का आकलन सीधे यूनिसोक द्वारा प्रदान किया जाता है।

सीवीई संदर्भ तीव्रता अवयव
सीवीई-2022-20385 ए-238379819
अंडर-1903041 *
उच्च गुठली
सीवीई-2022-20386 ए-238227328
अंडर-1903099 *
उच्च एंड्रॉयड
सीवीई-2022-20387 ए-238227324
यू-1872 920 *
उच्च एंड्रॉयड
सीवीई-2022-20388 ए-238227323
यू-1872 920 *
उच्च एंड्रॉयड
सीवीई-2022-20389 ए-238257004
यू-1872 920 *
उच्च एंड्रॉयड
सीवीई-2022-20390 ए-238257002
यू-1872 920 *
उच्च एंड्रॉयड
सीवीई-2022-20391 ए-238257000
यू-1872 920 *
उच्च एंडोरिडो

क्वालकॉम घटक

ये भेद्यताएं क्वालकॉम घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम सुरक्षा बुलेटिन या सुरक्षा चेतावनी में और अधिक विस्तार से वर्णित हैं। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।

सीवीई संदर्भ तीव्रता अवयव
सीवीई-2022-22095 ए-223210037
क्यूसी-सीआर#3168780
क्यूसी-सीआर#3088894
उच्च गुठली
सीवीई-2022-25656 ए-228101796
क्यूसी-सीआर#3119439 [ 2 ]
क्यूसी-सीआर#29988082 [ 2 ]
उच्च गुठली
सीवीई-2022-25670 ए-235102548
क्यूसी-सीआर#3104235
उच्च WLAN
सीवीई-2022-25693 ए-235102897
क्यूसी-सीआर#3141474
उच्च दिखाना
सीवीई-2022-25704 ए-235102694
क्यूसी-सीआर#3155069 [ 2 ]
उच्च ब्लूटूथ
सीवीई-2022-25706 ए-235102901
क्यूसी-सीआर#3155132
उच्च ब्लूटूथ

क्वालकॉम बंद-स्रोत घटक

ये कमजोरियां क्वालकॉम के क्लोज्ड-सोर्स घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम सुरक्षा बुलेटिन या सुरक्षा अलर्ट में अधिक विस्तार से वर्णित हैं। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।

सीवीई संदर्भ तीव्रता अवयव
सीवीई-2022-25708 ए-235102756 * नाजुक बंद स्रोत घटक
सीवीई-2022-22066 ए-223209292 * उच्च बंद स्रोत घटक
सीवीई-2022-22074 ए-235102567 * उच्च बंद स्रोत घटक
सीवीई-2022-22081 ए-235102758 * उच्च बंद स्रोत घटक
सीवीई-2022-22089 ए-235102568 * उच्च बंद स्रोत घटक
सीवीई-2022-22091 ए-223209291 * उच्च बंद स्रोत घटक
सीवीई-2022-22092 ए-223211216 * उच्च बंद स्रोत घटक
सीवीई-2022-22093 ए-223209815 * उच्च बंद स्रोत घटक
सीवीई-2022-22094 ए-223210036 * उच्च बंद स्रोत घटक
सीवीई-2022-25669 ए-235102508 * उच्च बंद स्रोत घटक
सीवीई-2022-25686 ए-235102899 * उच्च बंद स्रोत घटक
सीवीई-2022-25688 ए-235102421 * उच्च बंद स्रोत घटक
सीवीई-2022-25690 ए-235102422 * उच्च बंद स्रोत घटक
सीवीई-2022-25696 ए-235102900 * उच्च बंद स्रोत घटक

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण जांचें और अपडेट करें देखें.

  • 2022-09-01 या बाद के सुरक्षा पैच स्तर 2022-09-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2022-09-05 या बाद के सुरक्षा पैच स्तर 2022-09-05 सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2022-09-01]
  • [ro.build.version.security_patch]:[2022-09-05]

Android 10 या उसके बाद के कुछ उपकरणों के लिए, Google Play सिस्टम अपडेट में दिनांक स्ट्रिंग होगी जो 2022-09-01 सुरक्षा पैच स्तर से मेल खाती है। सुरक्षा अद्यतन स्थापित करने के तरीके के बारे में अधिक विवरण के लिए कृपया यह आलेख देखें।

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि Android भागीदारों के पास कमजोरियों के एक सबसेट को ठीक करने की सुविधा हो जो सभी Android उपकरणों में अधिक तेज़ी से समान हो। Android भागीदारों को इस बुलेटिन में सभी समस्याओं को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • 2022-09-01 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से संबंधित सभी समस्याओं के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान शामिल होने चाहिए।
  • 2022-09-05 या इससे बाद के सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।

भागीदारों को उन सभी समस्याओं के समाधान को बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे एक ही अद्यतन में संबोधित कर रहे हैं।

3. टाइप कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियां सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षेपाक्षर परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उन्नयन
पहचान जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन/ए वर्गीकरण उपलब्ध नहीं है

4. सन्दर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
क्यूसी- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या
यू के आकार UNISOC संदर्भ संख्या

5. संदर्भ कॉलम में Android बग आईडी के आगे * का क्या अर्थ है?

जो समस्याएं सार्वजनिक रूप से उपलब्ध नहीं हैं उनमें संबंधित संदर्भ आईडी के आगे एक * होता है। उस समस्या के लिए अद्यतन आम तौर पर Google डेवलपर साइट से उपलब्ध पिक्सेल उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

6. सुरक्षा कमजोरियों को इस बुलेटिन और डिवाइस/पार्टनर सुरक्षा बुलेटिन, जैसे कि Pixel बुलेटिन के बीच क्यों विभाजित किया गया है?

इस सुरक्षा बुलेटिन में प्रलेखित सुरक्षा भेद्यताएं Android उपकरणों पर नवीनतम सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक हैं। सुरक्षा पैच स्तर घोषित करने के लिए डिवाइस/पार्टनर सुरक्षा बुलेटिन में प्रलेखित अतिरिक्त सुरक्षा भेद्यताएं आवश्यक नहीं हैं। Android डिवाइस और चिपसेट निर्माता अपने उत्पादों के लिए विशिष्ट सुरक्षा भेद्यता विवरण भी प्रकाशित कर सकते हैं, जैसे Google , Huawei , LGE , Motorola , Nokia , या Samsung

संस्करणों

संस्करण दिनांक टिप्पणियाँ
1.0 6 सितंबर 2022 बुलेटिन प्रकाशित
1.1 9 सितंबर, 2022 AOSP लिंक्स को शामिल करने के लिए संशोधित बुलेटिन
संशोधित सीवीई तालिका