Android सुरक्षा बुलेटिन—अप्रैल 2024

पब्लिश करने की तारीख: 1 अप्रैल, 2024

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़े जोखिम की आशंकाओं के बारे में जानकारी होती है. इन सभी समस्याओं को 5 अप्रैल, 2024 या इसके बाद के सुरक्षा पैच लेवल में ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

Android पार्टनर को सभी समस्याओं के बारे में, पब्लिकेशन से कम से कम एक महीने पहले सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android ओपन सोर्स प्रोजेक्ट (एओएसपी) की रिपॉज़िटरी में रिलीज़ किए जाएंगे. जब एओएसपी के लिंक उपलब्ध होंगे, तब हम इस बुलेटिन को एओएसपी के लिंक के साथ अपडेट करेंगे.

इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ी एक बड़ी जोखिम की आशंका है. इससे, बिना किसी अतिरिक्त प्रोग्राम चलाने की अनुमति के, स्थानीय स्तर पर खास सुविधाओं का ऐक्सेस हासिल किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि सुरक्षा से जुड़ी इस कमज़ोरी का फ़ायदा उठाने से, प्रभावित डिवाइस पर क्या असर पड़ सकता है. यह आकलन तब किया जाता है, जब डेवलपमेंट के लिए प्लैटफ़ॉर्म और सेवा से जुड़ी सुरक्षा कम करने वाली सुविधाओं को बंद कर दिया गया हो या उन्हें बाईपास कर दिया गया हो.

Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं के बारे में जानने के लिए, इस सेक्शन पर जाएं. इसमें Android के सुरक्षा प्लैटफ़ॉर्म से जुड़ी सुरक्षा सुविधाओं और Google Play Protect के बारे में जानकारी दी गई है. इनसे Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जा सकता है.

Android और Google की सेवाओं से जुड़ी शमन रणनीतियां

यहां Android सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सुरक्षा सेवाओं से जुड़ी कमियों को दूर करने के बारे में खास जानकारी दी गई है. इन क्षमताओं की वजह से, Android पर सुरक्षा से जुड़ी कमज़ोरियों का फ़ायदा उठाए जाने की संभावना कम हो जाती है.

  • Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हम सभी उपयोगकर्ताओं को सलाह देते हैं कि वे Android के नए वर्शन पर अपडेट करें.
  • Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google Play Protect, Google मोबाइल सेवाएं वाले डिवाइसों पर डिफ़ॉल्ट रूप से चालू होता है. यह उन लोगों के लिए खास तौर पर ज़रूरी है जो Google Play के अलावा किसी और सोर्स से ऐप्लिकेशन इंस्टॉल करते हैं.

01-04-2024 सुरक्षा पैच के लेवल से जुड़ी जोखिम की आशंका की जानकारी

यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 2024-04-01 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और एओएसपी के अपडेट किए गए वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.

Framework

इस सेक्शन में मौजूद सबसे गंभीर कमज़ोरी की वजह से, स्थानीय स्तर पर विशेषाधिकारों में बढ़ोतरी हो सकती है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.

CVE संदर्भ प्रकार गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-23710 A-311374917 ईओपी ज़्यादा 13, 14
CVE-2024-23713 A-305926929 ईओपी ज़्यादा 12, 12L, 13, 14
CVE-2024-0022 A-298635078 आईडी ज़्यादा 13, 14
CVE-2024-23712 A-304983146 DoS ज़्यादा 12, 12L, 13, 14

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर कमज़ोरी की वजह से, स्थानीय स्तर पर विशेषाधिकारों में बढ़ोतरी हो सकती है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.

CVE संदर्भ प्रकार गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-23704 A-299931761 ईओपी ज़्यादा 13, 14
CVE-2023-21267 A-218495634 [2] [3] आईडी ज़्यादा 12, 12L, 13, 14
CVE-2024-0026 A-308414141 DoS ज़्यादा 12, 12L, 13, 14
CVE-2024-0027 A-307948424 DoS ज़्यादा 12, 12L, 13, 14

Google Play के सिस्टम अपडेट

इस महीने, Google Play के सिस्टम अपडेट (Project Mainline) में सुरक्षा से जुड़ी कोई समस्या ठीक नहीं की गई है.

5 अप्रैल, 2024 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंकाओं की जानकारी

यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 2024-04-05 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और एओएसपी के अपडेट किए गए वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

MediaTek कॉम्पोनेंट

इन कमज़ोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे MediaTek से मिल सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर MediaTek करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-20039
A-323462011
M-MOLY01240012 *
ज़्यादा मोडेम प्रोटोकॉल
CVE-2024-20040
A-323465955
M-ALPS08360153 *
ज़्यादा डब्ल्यूलैन फ़र्मवेयर
CVE-2023-32890
A-323469023
M-MOLY01183647 *
ज़्यादा मॉडेम ईएमएम

वाइडवाइन

इस कमज़ोरी का असर Widevine के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, सीधे Widevine से मिल सकती है. इस समस्या की गंभीरता का आकलन, सीधे तौर पर Widevine करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-0042
A-312543200 * ज़्यादा Widevine DRM

Qualcomm कॉम्पोनेंट

इन जोखिमों का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Qualcomm करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-21468
A-318393412
QC-CR#3614610 [2]
ज़्यादा कर्नेल
CVE-2024-21472
A-318393741
QC-CR#3626401
ज़्यादा कर्नेल

Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट

इन जोखिमों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Qualcomm करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2023-28582
A-299147008 * गंभीर क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-28547
A-303101227 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33023
A-303101376 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33084
A-299146258 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33086
A-299146962 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33095
A-299146595 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33096
A-299146025 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33099
A-303101372 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33100
A-303101224 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33101
A-303101066 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33103
A-299146257 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33104
A-299146882 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33115
A-303101567 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-21463
A-318393254 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद आम तौर पर पूछे जाने वाले सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि इन समस्याओं को ठीक करने के लिए मेरे डिवाइस को अपडेट किया गया है?

किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

  • 1 अप्रैल, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख और इससे पहले के सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
  • 5 अप्रैल, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख और इससे पहले के सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.

डिवाइस बनाने वाली कंपनियों को, पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2024-04-01]
  • [ro.build.version.security_patch]:[2024-04-05]

Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की ऐसी स्ट्रिंग होगी जो 2024-04-01 के सुरक्षा पैच लेवल से मेल खाती हो. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस बुलेटिन में सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?

इस बुलेटिन में सुरक्षा पैच के दो लेवल दिए गए हैं, ताकि Android पार्टनर को यह सुविधा मिल सके कि वे सभी Android डिवाइसों में मौजूद एक जैसी जोखिम की आशंकाओं को तेज़ी से ठीक कर सकें. Android पार्टनर को इस बुलेटिन में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

  • 1 अप्रैल, 2024 के सुरक्षा पैच लेवल का इस्तेमाल करने वाले डिवाइसों में, उस सुरक्षा पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं के समाधान भी शामिल होने चाहिए.
  • जिन डिवाइसों में 5 अप्रैल, 2024 या इसके बाद का सुरक्षा पैच का लेवल इस्तेमाल किया जाता है उनमें इस (और पिछले) सुरक्षा बुलेटिन में बताए गए सभी ज़रूरी पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करें जिन पर वे काम कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी देने वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की आशंकाओं की कैटगरी का रेफ़रंस देती है.

छोटा रूप परिभाषा
आरसीई रिमोट कोड एक्ज़ीक्यूशन
ईओपी एलिवेशन ऑफ़ प्रिविलेज
आईडी जानकारी ज़ाहिर करना
DoS सेवा में रुकावट
लागू नहीं क्लासिफ़िकेशन उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, ऐसा प्रीफ़िक्स हो सकता है जिससे यह पता चलता हो कि रेफ़रंस वैल्यू किस संगठन से जुड़ी है.

प्रीफ़िक्स रेफ़रंस
A- Android में गड़बड़ी का आईडी
QC- Qualcomm का रेफ़रंस नंबर
M- MediaTek का रेफ़रंस नंबर
N- NVIDIA का रेफ़रंस नंबर
B- Broadcom का रेफ़रंस नंबर
U- UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

जिन समस्याओं की जानकारी सार्वजनिक तौर पर उपलब्ध नहीं है उनके रेफ़रंस आईडी के बगल में * का निशान होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए उपलब्ध नए बाइनरी ड्राइवर में शामिल होता है. ये ड्राइवर, Google की डेवलपर साइट पर उपलब्ध होते हैं.

6. सुरक्षा से जुड़े जोखिम की आशंकाओं को इस बुलेटिन और डिवाइस/पार्टनर के सुरक्षा बुलेटिन के बीच क्यों बांटा गया है? जैसे, Pixel का बुलेटिन?

इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी जोखिम की आशंकाओं के लिए, Android डिवाइसों पर नया 'सुरक्षा पैच का लेवल' दिखाना ज़रूरी है. सुरक्षा पैच का लेवल एलान करने के लिए, डिवाइस/पार्टनर के सुरक्षा बुलेटिन में बताए गए सुरक्षा से जुड़े जोखिम की अन्य आशंकाओं के बारे में जानकारी देने की ज़रूरत नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी, अपने प्रॉडक्ट से जुड़ी सुरक्षा की कमज़ोरियों की जानकारी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन तारीख नोट
1.0 1 अप्रैल, 2024 बुलेटिन पब्लिश किया गया