हमारा सुझाव है कि 27 मार्च, 2025 से AOSP को बनाने और उसमें योगदान देने के लिए, aosp-main के बजाय android-latest-release का इस्तेमाल करें. ज़्यादा जानकारी के लिए, AOSP में हुए बदलाव लेख पढ़ें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

Android सुरक्षा बुलेटिन—मई 2023
संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

पब्लिश करने की तारीख: 1 मई, 2023 | अपडेट करने की तारीख: 12 सितंबर, 2023

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. सुरक्षा पैच के लेवल 05-05-2023 या उसके बाद के वर्शन में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ किए गए हैं और इस बुलेटिन से लिंक किए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इनमें से सबसे गंभीर समस्या, फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी गंभीर समस्या है. इसकी वजह से, स्थानीय स्तर पर ऐक्सेस लेवल को बढ़ाया जा सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. शोषण के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत होती है. गंभीर समस्या का आकलन, इस बात पर आधारित होता है कि इससे जिस डिवाइस पर असर पड़ा है उस पर, इस समस्या का इस्तेमाल करने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कम करने की सुविधाएं बंद हैं या नहीं या इन्हें बाईपास किया गया है या नहीं.

Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए जोखिम कम करने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.

Android और Google की सेवाओं के लिए, सुरक्षा से जुड़ी समस्याओं को कम करने के तरीके

इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं के बारे में बताया गया है. जैसे, Google Play Protect. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा, किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.

01-05-2023 सुरक्षा पैच के लेवल से जुड़ी समस्या की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-05-2023 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.

फ़्रेमवर्क

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस की अनुमति बढ़ सकती है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. डेटा का गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत होती है.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2021-39617	A-175190844	EoP	ज़्यादा	11, 12, 12L
CVE-2022-20338	A-171966843	EoP	ज़्यादा	11, 12, 12L
CVE-2023-20993	A-261588851	EoP	ज़्यादा	11, 12, 12L, 13
CVE-2023-21109	A-261589597	EoP	ज़्यादा	11, 12, 12L, 13
CVE-2023-21117	A-263358101	EoP	ज़्यादा	13
CVE-2023-20914	A-189942529	आईडी	ज़्यादा	11
CVE-2023-21104	A-259938771	आईडी	ज़्यादा	12L, 13
CVE-2023-20930	A-250576066	डीओएस	ज़्यादा	11, 12, 12L, 13
CVE-2023-21116	A-256202273 [2]	EoP	काफ़ी हद तक ठीक है	11, 12, 12L, 13

फ़्रेमवर्क

इस सेक्शन में मौजूद जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस की अनुमति बढ़ सकती है. इसके लिए, प्रोसेस को लागू करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. डेटा का गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2023-21110	A-258422365	EoP	ज़्यादा	11, 12, 12L, 13

सिस्टम

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2022-20444	A-197296414 [2] [3] [4] [5]	EoP	ज़्यादा	11, 12
CVE-2023-21107	A-259385017	EoP	ज़्यादा	11, 12, 12L, 13
CVE-2023-21112	A-252763983	आईडी	ज़्यादा	11, 12, 12L, 13
CVE-2023-21118	A-269014004 [2] [3]	आईडी	ज़्यादा	11, 12, 12L, 13

Google Play के सिस्टम अपडेट

Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

सब-कॉम्पोनेंट	CVE
अनुमति कंट्रोलर	CVE-2021-39617, CVE-2023-20914

05-05-2023 सुरक्षा पैच के लेवल पर मौजूद जोखिम की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 05-05-2023 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

कर्नेल

CVE	रेफ़रंस	टाइप	गंभीरता	सब-कॉम्पोनेंट
CVE-2023-21102	A-260821414 अपस्ट्रीम कर्नेल [2]	EoP	ज़्यादा	ईएफ़आई
CVE-2023-21106	A-265016072 अपस्ट्रीम कर्नेल	EoP	ज़्यादा	GPU

Kernel कॉम्पोनेंट

इस सेक्शन में मौजूद जोखिम की वजह से, सिस्टम को चलाने की अनुमतियों के साथ, स्थानीय स्तर पर ऐक्सेस की अनुमतियों में बढ़ोतरी हो सकती है. डेटा का गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	सब-कॉम्पोनेंट
CVE-2023-0266	A-265303544 अपस्ट्रीम कर्नेल	EoP	काफ़ी हद तक ठीक है	कर्नेल

Kernel LTS

इन कर्नेल वर्शन को अपडेट कर दिया गया है. कर्नेल वर्शन के अपडेट, डिवाइस के लॉन्च के समय Android OS के वर्शन पर निर्भर करते हैं.

रेफ़रंस	Android का लॉन्च वर्शन	Kernel का लॉन्च वर्शन	कम से कम लॉन्च वर्शन
A-239830686	12	5.10	5.10.136
A-239977583	12	5.4	5.4.210
A-239978386	11	5.4	5.4.210
A-251538603	13	5.10	5.10.136
A-251540658	13	5.15	5.15.72

ग्रुप के कॉम्पोनेंट

इन कमजोरियों का असर Arm के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Arm से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Arm करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2022-46394	A-267360595 *	ज़्यादा	माली
CVE-2022-46395	A-267357916 *	ज़्यादा	माली
CVE-2022-46396	A-259984805 *	ज़्यादा	माली
CVE-2022-46891	A-260149319 *	ज़्यादा	माली
CVE-2023-26085	A-261701167 *	ज़्यादा	Arm NNAPI ड्राइवर

Imagination Technologies

इस समस्या का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Imagination Technologies से संपर्क करें. इस समस्या की गंभीरता का आकलन, सीधे Imagination Technologies करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2021-0877	A-273754094 *	ज़्यादा	PowerVR-GPU

MediaTek के कॉम्पोनेंट

इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे MediaTek करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2023-20694	A-271785766 M-ALPS07733998 *	ज़्यादा	प्रीलोडर
CVE-2023-20695	A-271788841 M-ALPS07734012 *	ज़्यादा	प्रीलोडर
CVE-2023-20696	A-271788842 M-ALPS07856356 *	ज़्यादा	प्रीलोडर
CVE-2023-20699	A-271788844 M-ALPS07696073 *	ज़्यादा	adsp
CVE-2023-20697	A-271785768 M-ALPS07589148 *	ज़्यादा	keyinstall
CVE-2023-20698	A-271785769 M-ALPS07589144 *	ज़्यादा	keyinstall
CVE-2023-20726	A-271785764 M-ALPS07735968 *	ज़्यादा	mnld

Unisoc के कॉम्पोनेंट

इन कमजोरियों का असर Unisoc के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Unisoc से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, Unisoc सीधे तौर पर करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2022-47469	A-273383823 U-2143205 *	ज़्यादा	कर्नेल
CVE-2022-47470	A-273397872 U-2143207 *	ज़्यादा	कर्नेल
CVE-2022-47486	A-273401256 U-2143210 *	ज़्यादा	कर्नेल
CVE-2022-47487	A-273397882 U-2079517 *	ज़्यादा	Android
CVE-2022-47488	A-273409059 U-2064944 *	ज़्यादा	कर्नेल

Qualcomm के कॉम्पोनेंट

इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2023-21665	A-271879598 QC-CR#3400722	ज़्यादा	डिसप्ले
CVE-2023-21666	A-271879644 QC-CR#3400780	ज़्यादा	डिसप्ले

Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट

इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2022-25713	A-258057293 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2022-33273	A-258057450 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2022-33305	A-258057367 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2022-34144	A-258057329 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2022-40504	A-258057235 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2022-40508	A-258057197 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

01-05-2023 या उसके बाद के सुरक्षा पैच लेवल, 01-05-2023 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
05-05-2023 या इसके बाद के सिक्योरिटी पैच लेवल, 05-05-2 2023 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:

[ro.build.version.security_patch]:[2023-05-01]
[ro.build.version.security_patch]:[2023-05-05]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में, तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-05-2023 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?

इस सूचना में दो सिक्योरिटी पैच लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

जिन डिवाइसों में 01-05-2023 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
जिन डिवाइसों में 05-05-2023 या इसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन पर वे काम कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.

संक्षेपण	परिभाषा
आरसीई	रिमोट कोड को चलाना
EoP	प्रिविलेज एस्कलेशन
आईडी	जानकारी ज़ाहिर करना
डीओएस	सेवा में रुकावट
लागू नहीं	क्लासिफ़िकेशन उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.

प्रीफ़िक्स	रेफ़रंस
A-	Android गड़बड़ी का आईडी
QC-	Qualcomm का रेफ़रंस नंबर
M-	MediaTek का रेफ़रंस नंबर
N-	NVIDIA का रेफ़रंस नंबर
B-	Broadcom का रेफ़रंस नंबर
U-	UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए बने नए बिटरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से उपलब्ध होते हैं.

6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को, इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel के बुलेटिन के बीच क्यों बांटा जाता है?

इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सबसे नए सिक्योरिटी पैच लेवल का एलान किया जाता है. सुरक्षा से जुड़ी जोखिमों की जानकारी, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में दी जाती है. हालांकि, सुरक्षा पैच लेवल का एलान करने के लिए, इन जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन	तारीख	नोट
1.0	1 मई, 2023	बुलेटिन पब्लिश किया गया
1.1	3 मई, 2023	AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया
1.2	12 सितंबर, 2023	सीवीई टेबल में बदलाव किया गया