Android का सुरक्षा बुलेटिन—अक्टूबर 2023

पब्लिश करने की तारीख: 2 अक्टूबर, 2023 | अपडेट होने की तारीख: 26 जुलाई, 2024

Android सुरक्षा बुलेटिन में सुरक्षा से जुड़े जोखिमों की जानकारी दी जाती है इसका असर Android डिवाइसों पर पड़ रहा है. के सिक्योरिटी पैच लेवल 06-10-2023 या बाद में इन सभी समस्याओं का समाधान किया जाता है. किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, यहां देखें अपने डिवाइस का Android वर्शन देखें और उसे अपडेट करें.

Android पार्टनर को सभी समस्याओं की सूचना कम से कम एक महीने पहले दे दी जाती है पब्लिकेशन. इन समस्याओं के लिए सोर्स कोड पैच, Android Open में रिलीज़ कर दिए गए हैं सोर्स प्रोजेक्ट (AOSP) का डेटा स्टोर करने की जगह और इस बुलेटिन से लिंक किया गया है. यह बुलेटिन इसमें AOSP के बाहर के पैच के लिंक भी शामिल हैं.

गंभीरता का आकलन, इस जोखिम का फ़ायदा, किसी ऐसे डिवाइस पर पड़ सकता है जिस पर इस समस्या का असर पड़ा हो, यह मानते हुए कि डेवलपमेंट के लिए प्लैटफ़ॉर्म और सेवा में होने वाले बदलावों को बंद कर दिया गया है बायपास किया जा सकता है या उन्हें बायपास किया जा सकता है.

Android और Google Play Protect के बारे में जानें कम करने से जुड़ी जानकारी सेक्शन में दी गई है Android सिक्योरिटी प्लैटफ़ॉर्म सुरक्षा और Google Play Protect की सुविधा देते हैं. इन सुविधाओं की मदद से, आपके ऐप्लिकेशन की सुरक्षा को बेहतर बनाया जाता है Android प्लैटफ़ॉर्म.

Android और Google की सेवा खतरों को कम करना

यहां उन खतरों के बारे में खास जानकारी दी गई है जिन्हें Android सिक्योरिटी प्लैटफ़ॉर्म साथ ही, सेवा की सुरक्षा से जुड़ी खास जानकारी Google Play सुरक्षित करें. ये सुविधाएँ, इंटरनेट पर मिलने वाली सुरक्षा जोखिम की आशंकाओं का आसानी से फ़ायदा उठाया जा सकता है.

  • Android पर कई समस्याओं के लिए, गलत जानकारी खोजना और मुश्किल हो गया है: Android प्लैटफ़ॉर्म के नए वर्शन को बेहतर बनाया है. हम सभी को प्रोत्साहित करते हैं लोग अपडेट करने की कोशिश करें.
  • Android सुरक्षा टीम, नीति के उल्लंघन पर लगातार नज़र रखती है. इसके लिए, Google Play सुरक्षित रखना और उपयोगकर्ताओं को इसके बारे में चेतावनी देना संभावित रूप से नुकसान पहुंचाने वाले ऐप्लिकेशन. Google Play Protect, डिफ़ॉल्ट रूप से चालू रहता है डिवाइस Google के साथ मोबाइल सेवाएं मुहैया कराई हैं. खास तौर पर, यह उन लोगों के लिए अहम है जो इनसे ऐप्लिकेशन इंस्टॉल करते हैं Google Play से बाहर रखी गई हैं.

01-10-2023 सिक्योरिटी पैच लेवल के जोखिम की आशंका से जुड़ी जानकारी

नीचे दिए गए सेक्शन में, हमने हर सुरक्षा के बारे में जानकारी दी है जो 2023-10-01 पैच लेवल पर लागू होते हैं. जोखिमों को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर वे असर डालते हैं. समस्याओं के बारे में नीचे टेबल में बताया गया है. इनमें सीवीई आईडी शामिल है रेफ़रंस, किस तरह के जोखिम की आशंका है, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) भी उपलब्ध हैं. उपलब्ध होने पर, हम समस्या का समाधान करने वाले सार्वजनिक बदलाव को गड़बड़ी का आईडी, जैसे कि एओएसपी बदलाव सूची. जब किसी एक बग की वजह से कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस से लिंक किया गया है. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट भी मिल सकते हैं Google Play के सिस्टम अपडेट.

फ़्रेमवर्क

इस सेक्शन में सबसे गंभीर जोखिम की आशंका, लोगों की सूचना देना एक खास अधिकार है.

सीवीई रेफ़रंस टाइप गंभीरता अपडेट किए गए AOSP वर्शन
CVE-2023-40116 ए-270368476 [2] ईओपी ज़्यादा 11, 12, 12ली
CVE-2023-40120 ए-274775190 ईओपी ज़्यादा 11, 12, 12ली, 13
CVE-2023-40131 ए-282919145 ईओपी ज़्यादा 12, 12 ली॰, 13
CVE-2023-40140 A-274058082 ईओपी ज़्यादा 11, 12, 12ली, 13
CVE-2023-21291 ए-277593270 आईडी ज़्यादा 11, 12, 12ली, 13
CVE-2023-40121 ए-224771621 आईडी ज़्यादा 11, 12, 12ली, 13
CVE-2023-40134 A-283101289 आईडी ज़्यादा 12, 12 ली॰, 13
CVE-2023-40136 ए-281666022 आईडी ज़्यादा 11, 12, 12ली, 13
CVE-2023-40137 ए-281665050 आईडी ज़्यादा 11, 12, 12ली, 13
CVE-2023-40138 ए-281534749 आईडी ज़्यादा 11, 12, 12ली, 13
CVE-2023-40139 ए-281533566 आईडी ज़्यादा 11, 12, 12ली, 13

सिस्टम

इस सेक्शन में सबसे गंभीर जोखिम की आशंका की वजह से, (प्रॉक्सिमल/आस-पास) कोड एक्ज़ीक्यूशन के लिए, कोई अतिरिक्त कार्रवाई नहीं करनी होती की ज़रूरत नहीं है.

सीवीई रेफ़रंस टाइप गंभीरता अपडेट किए गए AOSP वर्शन
CVE-2023-40129 ए-273874525 आरसीई सबसे अहम सिद्धांत 12, 12 ली॰, 13
CVE-2023-21244 ए-276729064 [2] [3] ईओपी ज़्यादा 11, 12, 12ली, 13
CVE-2023-40117 A-253043065 [2] ईओपी ज़्यादा 11, 12, 12ली, 13
CVE-2023-40125 A-279902472 ईओपी ज़्यादा 11, 12, 12ली, 13
CVE-2023-40128 ए-274231102 ईओपी ज़्यादा 11, 12, 12ली, 13
CVE-2023-40130 A-289809991 ईओपी ज़्यादा 11, 12, 12ली, 13
CVE-2023-40123 ए-278246904 आईडी ज़्यादा 11, 12, 12ली, 13
CVE-2023-40127 ए-262244882 आईडी ज़्यादा 11, 12, 12ली, 13
CVE-2023-40133 ए-283264674 आईडी ज़्यादा 11, 12, 12ली, 13
CVE-2023-40135 ए-281848557 आईडी ज़्यादा 11, 12, 12ली, 13
CVE-2023-21252 A-275339978 [2] डीओएस ज़्यादा 11, 12, 12ली, 13
CVE-2023-21253 A-266580022 [2] [3] डीओएस ज़्यादा 11, 12, 12ली, 13

Google Play के सिस्टम अपडेट

Project Mainline घटकों में नीचे दी गई समस्याएं शामिल हैं.

सबकॉम्पोनेंट सीवीई
मीडिया प्रोवाइडर CVE-2023-40127
वाई-फ़ाई CVE-2023-21252

05-10-2023 सिक्योरिटी पैच लेवल के जोखिम की आशंका से जुड़ी जानकारी

नीचे दिए गए सेक्शन में, हमने हर सुरक्षा के बारे में जानकारी दी है जो 2023-10-05 पैच लेवल पर लागू होती हैं. जोखिमों को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर वे असर डालते हैं. समस्याओं के बारे में नीचे टेबल में बताया गया है. इनमें सीवीई आईडी शामिल है रेफ़रंस, किस तरह के जोखिम की आशंका है, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) भी उपलब्ध हैं. उपलब्ध होने पर, हम समस्या का समाधान करने वाले सार्वजनिक बदलाव को गड़बड़ी का आईडी, जैसे कि एओएसपी बदलाव सूची. जब किसी एक बग की वजह से कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस से लिंक किया गया है.

कॉम्पोनेंट को ग्रुप में बांटना

इन जोखिमों से, आर्म कॉम्पोनेंट पर असर पड़ता है. साथ ही, ज़्यादा जानकारी उपलब्ध है सीधे आर्म से. इन समस्याओं की गंभीरता का आकलन किया जाता है सीधे आर्म से.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
CVE-2021-44828 ए-296461583 * ज़्यादा माली
CVE-2022-28348 ए-296463357 * ज़्यादा माली
CVE-2023-4211 ए-294605494 * ज़्यादा माली
CVE-2023-33,200 A-287627703 * ज़्यादा माली
CVE-2023-34970 CVE-2023-34970 A-287624919 * ज़्यादा माली

MediaTek कॉम्पोनेंट

इन जोखिमों से MediaTek कॉम्पोनेंट पर असर पड़ सकता है. साथ ही, ज़्यादा जानकारी के लिए यह सुविधा सीधे MediaTek से उपलब्ध है. इन समस्याओं की गंभीरता का आकलन MediaTek की ओर से उपलब्ध कराया जाता है.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
CVE-2023-20819 ए-294779648
M-MOLY01068234 *
ज़्यादा CD PPP प्रोटोकॉल
CVE-2023-32819 ए-294779649
एम-एलपीएस07993705 *
ज़्यादा डिसप्ले
CVE-2023-32820 ए-294781433
एम-एलपीएस07932637 *
ज़्यादा Wlan फ़र्मवेयर

Unisoc कॉम्पोनेंट

यह जोखिम Unisoc कॉम्पोनेंट पर असर डालता है और आगे की जानकारी यहां दी गई है: उपलब्ध है सीधे Unisoc से. इस समस्या की गंभीरता का आकलन सीधे Unisoc के ज़रिए किया जाता है.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
CVE-2023-40638 ए-296491611
U-2212107*
ज़्यादा Android

Qualcomm के कॉम्पोनेंट

इन जोखिमों से Qualcomm के कॉम्पोनेंट पर असर पड़ता है. इनके बारे में आगे बताया गया है उचित Qualcomm सुरक्षा बुलेटिन या सुरक्षा चेतावनी में पूरी जानकारी दी गई हो. इन समस्याओं की गंभीरता का आकलन, सीधे Qualcomm के ज़रिए किया जाता है.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
CVE-2023-33029 A-290061916
क्यूसी-सीआर#3446314
ज़्यादा कर्नेल
CVE-2023-33034 A-290060972
क्यूसी-सीआर#3438425
ज़्यादा ऑडियो
CVE-2023-33035 A-290061247
क्यूसी-सीआर#3438021
ज़्यादा ऑडियो

Qualcomm क्लोज़्ड-सोर्स कॉम्पोनेंट

इन जोखिमों की वजह से, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर असर पड़ता है और जिसके बारे में Qualcomm के सुरक्षा बुलेटिन में ज़्यादा जानकारी दी गई हो या सुरक्षा से जुड़ी चेतावनी. इन समस्याओं की गंभीरता का आकलन, सीधे Qualcomm के ज़रिए किया जाता है.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
CVE-2023-24855 A-276750662 * सबसे अहम सिद्धांत क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-28540 A-276751073 * सबसे अहम सिद्धांत क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-33028 A-290060590 * सबसे अहम सिद्धांत क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-21673 A-276750698 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-22385 A-276750699 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-24843 A-276750762 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-24844 A-276750872 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-24847 A-276751090 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-24848 A-276750995* ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-24849 A-276751370* ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-24850 CVE-2023-24850 A-276751108 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-24853 A-276751372 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-33026 A-290061996 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-33027 A-290061249 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट

06-10-2023 सिक्योरिटी पैच लेवल से जुड़े जोखिम की आशंकाओं की जानकारी

नीचे दिए गए सेक्शन में, हमने हर सुरक्षा के बारे में जानकारी दी है जो 2023-10-06 पैच लेवल पर लागू होते हैं. जोखिमों को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर वे असर डालते हैं. समस्याओं के बारे में यहां टेबल दी गई है. इनमें सीवीई आईडी शामिल है रेफ़रंस, किस तरह के जोखिम की आशंका है, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) भी उपलब्ध हैं. उपलब्ध होने पर, हम समस्या का समाधान करने वाले सार्वजनिक बदलाव को गड़बड़ी का आईडी, जैसे कि एओएसपी बदलाव सूची. जब किसी एक बग की वजह से कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस से लिंक किया गया है.

सिस्टम

इस सेक्शन में जोखिम की आशंका की वजह से, उपयोगकर्ता के इंटरैक्शन के बिना ही शोषण हो सकता है.

सीवीई रेफ़रंस टाइप गंभीरता अपडेट किए गए AOSP वर्शन
CVE-2023-4863 ए-299477569 आरसीई सबसे अहम सिद्धांत 11, 12, 12ली, 13

अक्सर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, उन आम सवालों के जवाब दिए गए हैं जो इसे पढ़ने के बाद दिख सकते हैं बुलेटिन.

1. मैं कैसे पता करूं कि मेरा डिवाइस इन सुविधाओं के हिसाब से अपडेट है या नहीं समस्याएं हैं?

किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, यहां देखें अपने डिवाइस का Android वर्शन देखें और उसे अपडेट करें.

  • 01-10-2023 या इसके बाद के पते के सिक्योरिटी पैच लेवल 01-10-2023 सिक्योरिटी पैच से जुड़ी सभी समस्याएं लेवल.
  • 05-10-2023 या इसके बाद के पते के सिक्योरिटी पैच लेवल 05-10-2023 सिक्योरिटी पैच से जुड़ी सभी समस्याएं और पिछले सभी पैच लेवल जोड़े जा सकते हैं.
  • 06-10-2023 या इसके बाद के पते के सिक्योरिटी पैच लेवल 06-10-2023 सिक्योरिटी पैच से जुड़ी सभी समस्याएं और पिछले सभी पैच लेवल जोड़े जा सकते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग सेट करनी चाहिए एक लेवल से दूसरे लेवल पर ले जाएं:

  • [ro.build.version.security_patch]:[01-10-2023]
  • [ro.build.version.security_patch]:[05-10-2023]
  • [ro.build.version.security_patch]:[06-10-2023]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play का सिस्टम अपडेट इसमें तारीख की ऐसी स्ट्रिंग होगी जो 01-10-2023 से मिलती-जुलती होगी सुरक्षा पैच लेवल है. रिपोर्ट पाने के तरीकों के बारे में ज़्यादा जानने के लिए, कृपया यह लेख देखें इंस्टॉल सुरक्षा से जुड़े अपडेट.

2. इस बुलेटिन में तीन सुरक्षा पैच लेवल क्यों हैं?

इस बुलेटिन में तीन सुरक्षा पैच लेवल हैं, ताकि Android पार्टनर के पास सभी तरह के जोखिमों के सबसेट को ठीक करने की सुविधा इससे ज़्यादा तेज़ी से Android डिवाइस इस्तेमाल किए जा सकते हैं. Android पार्टनर को सभी इस बुलेटिन में बताई गई समस्याओं को हल करने के लिए और सबसे नए सुरक्षा पैच लेवल का इस्तेमाल करें.

  • वे डिवाइस जिनमें 2023-10-01 सिक्योरिटी पैच लेवल का इस्तेमाल किया गया है इसमें उस सुरक्षा पैच लेवल से जुड़ी सभी समस्याएं भी शामिल होनी चाहिए जैसे पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं को ठीक किया गया है.
  • वे डिवाइस जो 05-10-2023 के सुरक्षा पैच लेवल का इस्तेमाल करते हैं या नए वर्शन में इस (और पिछली) सुरक्षा में लागू होने वाले सभी पैच शामिल होने चाहिए बुलेटिन.
  • वे डिवाइस जो 06-10-2023 के सुरक्षा पैच लेवल का इस्तेमाल करते हैं या नए वर्शन में इस (और पिछली) सुरक्षा में लागू होने वाले सभी पैच शामिल होने चाहिए बुलेटिन.

पार्टनर को सलाह दी जाती है कि वे अपनी सभी समस्याओं को एक साथ ठीक कर लें समस्या को हल करने में मदद मिलती है.

3. टाइप कॉलम में दी गई एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी वाली टेबल के टाइप कॉलम में एंट्री में सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताया गया हो.

संक्षेपण परिभाषा
आरसीई रिमोट कोड इस्तेमाल करना
ईओपी खास अधिकारों से जुड़ी शर्तें
आईडी जानकारी ज़ाहिर करना
डीओएस सेवा अस्वीकार की गई
लागू नहीं वर्गीकरण उपलब्ध नहीं है

4. रेफ़रंस कॉलम में दी गई जानकारी का क्या मतलब है?

जोखिम की आशंका की जानकारी के रेफ़रंस कॉलम में मौजूद एंट्री तालिका में उस संगठन की पहचान करने वाला कोई उपसर्ग हो सकता है, जिससे रेफ़रंस मान संबंधित है.

प्रीफ़िक्स रेफ़रंस
A- Android बग आईडी
क्यूसी- Qualcomm रेफ़रंस नंबर
पु॰- MediaTek रेफ़रंस नंबर
नहीं- NVIDIA का रेफ़रंस नंबर
B- ब्रॉडकॉम रेफ़रंस नंबर
यू- UNISOC रेफ़रंस नंबर

5. रेफ़रंस में, Android की गड़बड़ी के आईडी के बगल में मौजूद * क्या काम करता है कॉलम का मतलब क्या है?

जो समस्याएं सार्वजनिक तौर पर उपलब्ध नहीं हैं उनसे जुड़ी समस्याओं के आगे * लगा होगा रेफ़रंस आईडी चुनें. इस समस्या का अपडेट आम तौर पर सबसे नए Pixel डिवाइसों के लिए बाइनरी ड्राइवर, Google डेवलपर साइट.

6. इस बुलेटिन और रिपोर्ट के बीच, सुरक्षा से जुड़े जोखिम की आशंकाएं अलग-अलग क्यों हैं डिवाइस / पार्टनर सुरक्षा से जुड़े बुलेटिन, जैसे कि Pixel बुलेटिन?

इस सुरक्षा बुलेटिन में जिन सुरक्षा जोखिमों के बारे में बताया गया है, वे Android पर सबसे नए सिक्योरिटी पैच लेवल का एलान करना ज़रूरी है डिवाइस. सुरक्षा से जुड़े ऐसे अन्य जोखिम जिनकी जानकारी इनके लिए, डिवाइस / पार्टनर सुरक्षा से जुड़े बुलेटिन की ज़रूरत नहीं है सुरक्षा पैच लेवल के बारे में जानकारी दे रही हूँ. Android डिवाइस और चिपसेट बनाने वाली कंपनियां अपने प्रॉडक्ट के लिए, सुरक्षा से जुड़े जोखिम की आशंका की जानकारी भी पब्लिश कर सकते हैं, जैसे कि Google, हुआवे, एलजीई, Motorola, Nokia, या Samsung.

वर्शन

वर्शन तारीख नोट
1.0 2 अक्टूबर, 2023 बुलेटिन प्रकाशित किया गया