Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़े जोखिम की आशंकाओं के बारे में जानकारी है. इन सभी समस्याओं को 5 जून, 2024 या इसके बाद के सुरक्षा पैच लेवल में ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने फ़ोन का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं के बारे में सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ किए जाएंगे. AOSP के लिंक उपलब्ध होने पर, हम इस बुलेटिन को अपडेट करेंगे.
इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ी एक बड़ी जोखिम की आशंका है. इससे, खास सुविधाओं के ऐक्सेस को स्थानीय स्तर पर बढ़ाया जा सकता है. इसके लिए, खास सुविधाओं के ऐक्सेस की कोई अतिरिक्त अनुमति नहीं चाहिए. गंभीरता का आकलन इस आधार पर किया जाता है कि सुरक्षा से जुड़ी इस समस्या का असर, प्रभावित डिवाइस पर किस तरह पड़ेगा. इसमें यह मान लिया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी सुरक्षा कम करने वाली सुविधाओं को बंद कर दिया गया है या उन्हें सफलतापूर्वक बायपास कर दिया गया है.
Android के सुरक्षा प्लैटफ़ॉर्म की सुरक्षा सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं वाला सेक्शन देखें. इनसे Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google सेवा से जुड़ी कमियां
यहां Android सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सुरक्षा सेवाओं से जुड़ी कमियों को दूर करने के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा जोखिम की संभावना को कम किया जा सकता है.
- Android के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हम सभी उपयोगकर्ताओं को सलाह देते हैं कि वे Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाएं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह उन लोगों के लिए खास तौर पर ज़रूरी है जो Google Play के अलावा किसी और सोर्स से ऐप्लिकेशन इंस्टॉल करते हैं.
सुरक्षा पैच का लेवल 2024-06-01 से जुड़ी जोखिम की आशंका की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी समस्याओं के बारे में जानकारी दी गई है जो 2024-06-01 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
Framework
इस सेक्शन में सबसे गंभीर कमज़ोरी की वजह से, स्थानीय स्तर पर विशेषाधिकारों में बढ़ोतरी हो सकती है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.
| CVE | संदर्भ | प्रकार | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2023-21266 | A-223376078 | ईओपी | ज़्यादा | 12, 12L, 13 |
| CVE-2024-31310 | A-324874908 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-31316 | A-321941232 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-31317 | A-316153291 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-31318 | A-313428840 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-31319 | A-317357401 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-31322 | A-326485767 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-31324 | A-302431573 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-31325 | A-317503801 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-31326 | A-318497672 [2] | ईओपी | ज़्यादा | 14 |
| CVE-2024-31312 | A-314333719 | आईडी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-31314 | A-304290201 | DoS | ज़्यादा | 12, 12L, 13, 14 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर कमज़ोरी की वजह से, स्थानीय स्तर पर विशेषाधिकारों को बढ़ाया जा सकता है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.
| CVE | संदर्भ | प्रकार | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2023-21113 | A-267231571 [2] [3] | ईओपी | ज़्यादा | 12, 12L, 13 |
| CVE-2023-21114 | A-272106880 [2] [3] | ईओपी | ज़्यादा | 13 |
| CVE-2024-31311 | A-330054251 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-31313 | A-321341508 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-31315 | A-321707289 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-31323 | A-313425281 | ईओपी | ज़्यादा | 14 |
| CVE-2024-31327 | A-321326147 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
Google Play के सिस्टम अपडेट
प्रोजेक्ट मेनलाइन के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| सबकॉम्पोनेंट | CVE |
|---|---|
| Healthfitness | CVE-2024-31323 |
| Statsd | CVE-2024-31311 |
| वाई-फ़ाई | CVE-2023-21114 |
5 जून, 2024 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंकाओं की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी जोखिम की आशंकाओं के बारे में जानकारी दी गई है जो 5 जून, 2024 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
कर्नेल
इस सेक्शन में मौजूद कमज़ोरी की वजह से, कर्नल में स्थानीय स्तर पर विशेषाधिकारों को बढ़ाया जा सकता है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.
| CVE | संदर्भ | प्रकार | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2024-26926 |
A-320661088 अपस्ट्रीम कर्नल [2] |
ईओपी | ज़्यादा | बाइंडर |
ग्रुप के कॉम्पोनेंट
इन कमियों का असर Arm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे तौर पर Arm से मिल सकती है. इन समस्याओं के असर का आकलन, सीधे तौर पर Arm करता है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-0671 |
A-329094549 * | ज़्यादा | माली |
| CVE-2024-1065 |
A-329096276 * | ज़्यादा | माली |
इमैजिनेशन टेक्नोलॉजीज़
इन कमियों का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे तौर पर Imagination Technologies से मिल सकती है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Imagination Technologies करती है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-23695 |
A-331245718 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-23696 |
A-331244771 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-23697 |
A-331245500 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-23698 |
A-331239675 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-23711 |
A-332571891 * | ज़्यादा | PowerVR-GPU |
MediaTek कॉम्पोनेंट
इन कमज़ोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे MediaTek से मिल सकती है. इन समस्याओं का गंभीर आकलन सीधे तौर पर MediaTek से मिलता है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-20065 |
A-332178746 M-ALPS08698617 * |
ज़्यादा | टेलीफ़ोनी |
| CVE-2024-20069 |
A-332178751 M-MOLY01286330 * |
ज़्यादा | मोडेम |
| CVE-2024-20066 |
A-332001819 M-MOLY01267281 * |
ज़्यादा | मोडेम |
| CVE-2024-20067 |
A-332186387 M-MOLY01267285 * |
ज़्यादा | मोडेम |
| CVE-2024-20068 |
A-332178749 M-MOLY01270721 * |
ज़्यादा | मोडेम |
Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट
इन जोखिमों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2023-43538 |
A-314791539 * | गंभीर | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-43551 |
A-314791442 * | गंभीर | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-43556 |
A-314791052 * | गंभीर | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-43542 |
A-314790691 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-23363 |
A-328084351 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और जवाब
इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद आम तौर पर पूछे जाने वाले सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि इन समस्याओं को ठीक करने के लिए मेरे डिवाइस को अपडेट किया गया है?
किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.
- 1 जून, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
- 5 जून, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख और इससे पहले के सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
डिवाइस बनाने वाली कंपनियों को, इन अपडेट को शामिल करने के लिए पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2024-06-01]
- [ro.build.version.security_patch]:[2024-06-05]
Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play सिस्टम अपडेट में तारीख की ऐसी स्ट्रिंग होगी जो 1 जून, 2024 के सुरक्षा पैच लेवल से मेल खाती हो. सुरक्षा अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस बुलेटिन में सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?
इस बुलेटिन में दो सुरक्षा पैच लेवल दिए गए हैं, ताकि Android पार्टनर, सुरक्षा से जुड़ी उन जोखिम की आशंकाओं को ठीक कर सकें जो सभी Android डिवाइसों में एक जैसी हैं. Android पार्टनर को इस बुलेटिन में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच लेवल के नए वर्शन का इस्तेमाल करने का सुझाव दिया जाता है.
- 1 जून, 2024 के सुरक्षा पैच लेवल का इस्तेमाल करने वाले डिवाइसों में, उस सुरक्षा पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं के समाधान भी शामिल होने चाहिए.
- जिन डिवाइसों में 5 जून, 2024 या इसके बाद का सुरक्षा पैच लेवल इस्तेमाल किया जाता है उनमें इस और पिछले सुरक्षा बुलेटिन में बताए गए सभी ज़रूरी पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करें जिन पर वे काम कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की आशंका की जानकारी देने वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की आशंकाओं की कैटगरी का रेफ़रंस देती है.
| छोटा रूप | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड एक्ज़ीक्यूशन |
| ईओपी | एलिवेशन ऑफ़ प्रिविलेज |
| आईडी | जानकारी ज़ाहिर करना |
| DoS | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की आशंका की जानकारी देने वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, ऐसा प्रीफ़िक्स हो सकता है जिससे यह पता चलता हो कि रेफ़रंस वैल्यू किस संगठन से जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android में गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
जिन समस्याओं के बारे में सार्वजनिक तौर पर जानकारी उपलब्ध नहीं है उनके रेफ़रंस आईडी के बगल में * का निशान होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए उपलब्ध कराए गए नए बाइनरी ड्राइवर में शामिल होता है. ये ड्राइवर, Google Developer साइट पर उपलब्ध होते हैं.
6. सुरक्षा से जुड़े जोखिम की आशंकाओं को इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन के बीच क्यों बांटा गया है? जैसे, Pixel का बुलेटिन?
इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी जोखिम की आशंकाओं के लिए, Android डिवाइसों पर नया सुरक्षा पैच का लेवल दिखाना ज़रूरी है. सुरक्षा पैच का लेवल एलान करने के लिए, डिवाइस / पार्टनर के सुरक्षा बुलेटिन में बताए गए सुरक्षा से जुड़े जोखिम की अन्य आशंकाओं के बारे में जानकारी देने की ज़रूरत नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमज़ोरियों की जानकारी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 3 जून, 2024 | बुलेटिन पब्लिश किया गया |