'Android सुरक्षा बुलेटिन' में Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़े जोखिमों की जानकारी होती है. 05-06-2024 या इसके बाद के सिक्योरिटी पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सिक्योरिटी पैच लेवल की जांच करने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को, पब्लिकेशन से कम से कम एक महीने पहले सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए, सोर्स कोड पैच अगले 48 घंटों में Android ओपन सोर्स प्रोजेक्ट (एओएसपी) डेटा स्टोर करने की जगह में रिलीज़ कर दिए जाएंगे. एओएसपी लिंक उपलब्ध होने पर, हम उनके साथ इस बुलेटिन में बदलाव करेंगे.
इन समस्याओं में से सबसे गंभीर, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ा ज़्यादा जोखिम है. इसकी वजह से, स्थानीय स्तर पर खास सुविधाओं को ऐक्सेस करने की सूचना मिल सकती है. इसके लिए, किसी खास अधिकार की ज़रूरत नहीं होती. गंभीरता का आकलन इस बात पर आधारित होता है कि जोखिम की आशंका का फ़ायदा किसी ऐसे डिवाइस पर लिया जा सकता है जिस पर इस समस्या का असर हुआ हो. इसके लिए, यह माना जाता है कि डेवलपमेंट के मकसद से प्लैटफ़ॉर्म और सेवा को रोकने की सुविधा बंद की गई है या इसे बायपास किया गया है.
Android के सुरक्षा प्लैटफ़ॉर्म की सुरक्षा और Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाने वाले Google Play Protect के बारे में जानने के लिए, Android और Google Play Protect से मिलने वाले खतरों को कम करने से जुड़ी जानकारी सेक्शन देखें.
Android और Google की सेवाओं पर होने वाले प्रतिबंध
यहां Android सिक्योरिटी प्लैटफ़ॉर्म और Google Play Protect जैसी सेवा की सुरक्षा से जुड़े जोखिमों को कम करने के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़े जोखिमों का गलत इस्तेमाल होने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन को बेहतर बनाने की वजह से, Android पर कई समस्याओं का शोषण करना और भी आसान हो गया है. हमारा सुझाव है कि जहां भी हो सके, सभी उपयोगकर्ताओं को Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम Google Play Protect की मदद से, गलत इस्तेमाल पर नज़र बनाए रखती है और उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google Play Protect, Google की मोबाइल सेवाओं वाले डिवाइसों पर डिफ़ॉल्ट रूप से चालू रहता है. यह खास तौर पर उन लोगों के लिए ज़रूरी है जो Google Play के अलावा, किसी दूसरे प्लैटफ़ॉर्म से ऐप्लिकेशन इंस्टॉल करते हैं.
01-06-2024 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंका की जानकारी
नीचे दिए गए सेक्शन में, हम 01-06-2024 के पैच लेवल पर लागू होने वाली सुरक्षा से जुड़े हर जोखिम की जानकारी देते हैं. जोखिमों को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनसे असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़ी जानकारी, जोखिम की समस्या का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं, जैसे एओएसपी बदलाव सूची. जब किसी एक गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद आने वाले नंबर से लिंक हो जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट और Google Play के सिस्टम अपडेट भी मिल सकते हैं.
फ़्रेमवर्क
इस सेक्शन में सबसे गंभीर जोखिम की वजह से, स्थानीय लोगों को मिलने वाले खास अधिकारों में बढ़ोतरी हो सकती है. साथ ही, हो सकता है कि इसके लिए किसी खास अधिकार की ज़रूरत न पड़े.
| सीवीई | रेफ़रंस | टाइप | गंभीरता | अपडेट किए गए AOSP वर्शन |
|---|---|---|---|---|
| CVE-2023-21266 | ए-223376078 | ईओपी | ज़्यादा | 12, 12 ली॰, 13 |
| CVE-2024-31310 | ए-324874908 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-31316 | A-321941232 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-31317 | A-316153291 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-31318 | A-313428840 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-31319 | ए-317357401 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-31322 | ए-326485767 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-31324 | A-302431573 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-31325 | A-317503801 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-31326 | A-318497672 [2] | ईओपी | ज़्यादा | 14 |
| CVE-2024-31312 | A-314333719 | आईडी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-31314 | A-304290201 | डीओएस | ज़्यादा | 12, 12 ली॰, 13, 14 |
सिस्टम
इस सेक्शन में सबसे गंभीर जोखिम की वजह से, स्थानीय लोगों को मिलने वाले खास अधिकारों में बढ़ोतरी हो सकती है. इसके लिए, किसी खास अधिकार की ज़रूरत नहीं होगी.
| सीवीई | रेफ़रंस | टाइप | गंभीरता | अपडेट किए गए AOSP वर्शन |
|---|---|---|---|---|
| CVE-2023-21113 | A-267231571 [2] [3] | ईओपी | ज़्यादा | 12, 12 ली॰, 13 |
| CVE-2023-21114 | A-272106880 [2] [3] | ईओपी | ज़्यादा | 13 |
| CVE-2024-31311 | A-330054251 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-31313 | ए-321341508 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-31315 | ए-321707289 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-31323 | ए-313425281 | ईओपी | ज़्यादा | 14 |
| CVE-2024-31327 | ए-321326147 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
Google Play के सिस्टम अपडेट
Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल होती हैं.
| सबकॉम्पोनेंट | सीवीई |
|---|---|
| सेहत बेहतर करने की सेवा | CVE-2024-31323 |
| आंकड़े वाले | CVE-2024-31311 |
| वाई-फ़ाई | CVE-2023-21114 |
05-06-2024 सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंका की जानकारी
नीचे दिए गए सेक्शन में, हम 05-06-2024 के पैच लेवल पर लागू होने वाली सुरक्षा से जुड़े हर जोखिम की जानकारी देते हैं. जोखिमों को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनसे असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़ी जानकारी, जोखिम की समस्या का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं, जैसे एओएसपी बदलाव सूची. जब किसी एक गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद आने वाले नंबर से लिंक हो जाते हैं.
कर्नेल
इस सेक्शन में सुरक्षा से जुड़े जोखिम की वजह से, कर्नेल में खास अधिकारों को स्थानीय स्तर पर आगे बढ़ाया जा सकता है. ऐसा करने पर, हो सकता है कि एक्ज़ीक्यूशन के किसी खास अधिकार की ज़रूरत न हो.
| सीवीई | रेफ़रंस | टाइप | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2024-26926 |
A-320661088 अपस्ट्रीम कर्नेल [2] |
ईओपी | ज़्यादा | बाइंडर |
कॉम्पोनेंट को ग्रुप में बांटना
ये जोखिम, आर्म कॉम्पोनेंट पर असर डालते हैं. साथ ही, इस बारे में ज़्यादा जानकारी सीधे आर्म से ही ली जा सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर आर्म के ज़रिए दिया जाता है.
| सीवीई | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-0671 |
A-329094549 * | ज़्यादा | माली |
| सीवीई-2024-1065 |
A-329096276 * | ज़्यादा | माली |
कल्पना तकनीक
ये जोखिम की आशंकाएं, Imagination Technologies के कॉम्पोनेंट पर असर डालती हैं. साथ ही, ज़्यादा जानकारी सीधे Imagination Technologies से पाई जा सकती है. इन समस्याओं की गंभीरता का आकलन सीधे Imagination Technologies ने किया है.
| सीवीई | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-23695 |
A-331245718 * | ज़्यादा | पावरवीआर-जीपीयू |
| CVE-2024-23696 |
A-331244771 * | ज़्यादा | पावरवीआर-जीपीयू |
| CVE-2024-23697 |
A-331245500 * | ज़्यादा | पावरवीआर-जीपीयू |
| CVE-2024-23698 |
A-331239675 * | ज़्यादा | पावरवीआर-जीपीयू |
| CVE-2024-23711 |
A-332571891 * | ज़्यादा | पावरवीआर-जीपीयू |
MediaTek कॉम्पोनेंट
इन जोखिमों की वजह से MediaTek के कॉम्पोनेंट पर असर पड़ सकता है. इस बारे में ज़्यादा जानकारी सीधे MediaTek से मिल सकती है. इन समस्याओं की गंभीरता का आकलन सीधे MediaTek उपलब्ध कराता है.
| सीवीई | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| सीवीई-2024-20065 |
A-332178746 M-ALPS08698617 * |
ज़्यादा | टेलीफ़ोनी |
| सीवीई-2024-20069 |
A-332178751 M-MOLY01286330 * |
ज़्यादा | मॉडम |
| सीवीई-2024-20066 |
A-332001819 M-MOLY01267281 * |
ज़्यादा | मॉडम |
| सीवीई-2024-20067 |
A-332186387 M-MOLY01267285 * |
ज़्यादा | मॉडम |
| सीवीई-2024-20068 |
A-332178749 M-MOLY01270721 * |
ज़्यादा | मॉडम |
Qualcomm क्लोज़्ड-सोर्स कॉम्पोनेंट
ये जोखिम, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर असर डालते हैं. इनके बारे में Qualcomm के सही सुरक्षा बुलेटिन या सुरक्षा चेतावनी में ज़्यादा जानकारी दी गई है. इन समस्याओं की गंभीरता का आकलन सीधे Qualcomm के ज़रिए किया जाता है.
| सीवीई | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2023-43538 |
A-314791539 * | सबसे अहम सिद्धांत | क्लोज़्ड सोर्स कॉम्पोनेंट |
| CVE-2023-43551 |
A-314791442 * | सबसे अहम सिद्धांत | क्लोज़्ड सोर्स कॉम्पोनेंट |
| CVE-2023-43556 |
A-314791052 * | सबसे अहम सिद्धांत | क्लोज़्ड सोर्स कॉम्पोनेंट |
| CVE-2023-43542 |
A-314790691 * | ज़्यादा | क्लोज़्ड सोर्स कॉम्पोनेंट |
| CVE-2024-23363 |
A-328084351 * | ज़्यादा | क्लोज़्ड सोर्स कॉम्पोनेंट |
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, उन आम सवालों के जवाब दिए गए हैं जो इस बुलेटिन को पढ़ने के बाद आम तौर पर पूछे जा सकते हैं.
1. मैं कैसे पता करूं कि इन समस्याओं को ठीक करने के लिए, मेरा डिवाइस अपडेट है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-06-2024 या इसके बाद के सिक्योरिटी पैच लेवल, 01-06-2024 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 05-06-2024 या इसके बाद के सिक्योरिटी पैच लेवल, 05-06-2024 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं और पिछले सभी पैच लेवल का पता लगाते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इस हिसाब से सेट करना चाहिए:
- [ro.build.version.security_patch]:[01-06-2024]
- [ro.build.version.security_patch]:[05-06-2024]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख वाली स्ट्रिंग होगी, जो 01-06-2024 के सुरक्षा पैच लेवल से मेल खाती है. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानकारी के लिए, कृपया यह लेख देखें.
2. इस बुलेटिन में दो सुरक्षा पैच लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं. इसकी मदद से, Android पार्टनर उन जोखिमों के सबसेट को ज़्यादा तेज़ी से ठीक कर सकते हैं जो सभी Android डिवाइसों पर एक जैसे होते हैं. Android पार्टनर को इस बुलेटिन में दी गई सभी समस्याओं को ठीक करने और सबसे नए सुरक्षा पैच लेवल का इस्तेमाल करने की सलाह दी जाती है.
- जिन डिवाइसों में 2024-06-01 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं की जानकारी होनी चाहिए. साथ ही, उन सभी समस्याओं को ठीक करना भी ज़रूरी है जिनके बारे में पिछले सुरक्षा बुलेटिन में बताया गया था.
- जिन डिवाइसों में 05-06-2024 या इसके बाद के सुरक्षा पैच लेवल का इस्तेमाल किया जाता है उनमें सुरक्षा से जुड़े इस बुलेटिन में लागू होने वाले सभी पैच शामिल होने चाहिए. साथ ही, उन पैच को भी इससे पहले के सुरक्षा बुलेटिन में शामिल किया जाना चाहिए.
पार्टनर को इस बात की सलाह दी जाती है कि वे सभी समस्याओं को एक ही अपडेट में ठीक कर लें.
3. टाइप कॉलम में दी गई एंट्री का क्या मतलब है?
जोखिम की आशंका की जानकारी वाली टेबल के टाइप कॉलम में दी गई एंट्री से पता चलता है कि सुरक्षा से जुड़े जोखिम की कैटगरी क्या है.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड इस्तेमाल करना |
| ईओपी | खास अधिकारों से जुड़ी शर्तें |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा अस्वीकार की गई |
| लागू नहीं | वर्गीकरण उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में दी गई जानकारी का क्या मतलब है?
जोखिम की आशंका की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android बग आईडी |
| क्यूसी- | Qualcomm रेफ़रंस नंबर |
| पु॰- | MediaTek रेफ़रंस नंबर |
| नहीं- | NVIDIA का रेफ़रंस नंबर |
| B- | ब्रॉडकॉम रेफ़रंस नंबर |
| यू- | UNISOC रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android की गड़बड़ी के आईडी के बगल में मौजूद * का क्या मतलब है?
जो समस्याएं सार्वजनिक तौर पर उपलब्ध नहीं हैं उनसे जुड़े रेफ़रंस आईडी के बगल में * बना होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए नए बाइनरी ड्राइवर में शामिल होता है. यह जानकारी Google Developer साइट पर उपलब्ध होती है.
6. सुरक्षा से जुड़े जोखिम की आशंकाएं, इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन में अलग-अलग कैटगरी में क्यों आती हैं, जैसे कि Pixel बुलेटिन?
सुरक्षा से जुड़े इस बुलेटिन में बताए गए सुरक्षा से जुड़े जोखिमों के बारे में, Android डिवाइसों पर सुरक्षा पैच के नए लेवल की जानकारी देना ज़रूरी है. सुरक्षा पैच लेवल की जानकारी देने के लिए, डिवाइस / पार्टनर के सुरक्षा बुलेटिन में सुरक्षा से जुड़े अतिरिक्त जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी अपने प्रॉडक्ट के लिए, सुरक्षा से जुड़े जोखिम की संभावना से जुड़ी जानकारी पब्लिश कर सकती हैं, जैसे कि Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट बनाना |
|---|---|---|
| 1.0 | 3 जून, 2024 | बुलेटिन प्रकाशित किया गया |