'Android सुरक्षा बुलेटिन' में Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़े जोखिमों की जानकारी होती है. 05-07-2024 या इसके बाद के सिक्योरिटी पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सिक्योरिटी पैच लेवल की जांच करने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को, पब्लिकेशन से कम से कम एक महीने पहले सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए, सोर्स कोड पैच Android ओपन सोर्स प्रोजेक्ट (एओएसपी) डेटा स्टोर करने की जगह में रिलीज़ कर दिए गए हैं और उन्हें इस बुलेटिन से लिंक किया गया है. इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इन समस्याओं में से सबसे गंभीर, फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़े एक गंभीर जोखिम की आशंका है. इसकी वजह से, स्थानीय स्तर पर खास सुविधाओं को ऐक्सेस करने की सूचना मिल सकती है. साथ ही, हो सकता है कि इसे लागू करने के लिए किसी खास अधिकार की ज़रूरत न पड़े. गंभीरता का आकलन, इस बात पर आधारित होता है कि जोखिम की आशंका का फ़ायदा, शायद उस डिवाइस पर हुआ है जिस पर इस समस्या का असर हुआ है. ऐसा यह मानते हुए किया जाता है कि डेवलपमेंट के मकसद से प्लैटफ़ॉर्म और सेवा को रोकने की सुविधा को बंद कर दिया गया है या इसे बायपास कर दिया गया है.
Android के सुरक्षा प्लैटफ़ॉर्म की सुरक्षा और Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाने वाले Google Play Protect के बारे में जानने के लिए, Android और Google Play Protect से मिलने वाले खतरों को कम करने से जुड़ी जानकारी सेक्शन देखें.
Android और Google की सेवाओं पर होने वाले प्रतिबंध
यहां Android सिक्योरिटी प्लैटफ़ॉर्म और Google Play Protect जैसी सेवा की सुरक्षा से जुड़े जोखिमों को कम करने के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़े जोखिमों का गलत इस्तेमाल होने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन को बेहतर बनाने की वजह से, Android पर कई समस्याओं का शोषण करना और भी आसान हो गया है. हमारा सुझाव है कि जहां भी हो सके, सभी उपयोगकर्ताओं को Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, गलत इस्तेमाल पर नज़र बनाए रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google Play Protect, Google की मोबाइल सेवाओं वाले डिवाइसों पर डिफ़ॉल्ट रूप से चालू रहता है. यह खास तौर पर उन लोगों के लिए ज़रूरी है जो Google Play के अलावा, किसी दूसरे प्लैटफ़ॉर्म से ऐप्लिकेशन इंस्टॉल करते हैं.
01-07-2024 सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंका की जानकारी
नीचे दिए गए सेक्शन में, हम 01-07-2024 के पैच लेवल पर लागू होने वाली सुरक्षा से जुड़े हर जोखिम की जानकारी देते हैं. जोखिमों को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनसे असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़ी जानकारी, जोखिम की समस्या का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं, जैसे एओएसपी बदलाव सूची. जब किसी एक गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद आने वाले नंबर से लिंक हो जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट और Google Play के सिस्टम अपडेट भी मिल सकते हैं.
फ़्रेमवर्क
इस सेक्शन में सबसे गंभीर जोखिम की वजह से, स्थानीय लोगों को मिलने वाले खास अधिकारों में बढ़ोतरी हो सकती है. साथ ही, हो सकता है कि इसके लिए किसी खास अधिकार की ज़रूरत न पड़े.
| सीवीई | रेफ़रंस | टाइप | गंभीरता | अपडेट किए गए AOSP वर्शन |
|---|---|---|---|---|
| CVE-2024-31320 | A-329230490 [2] | ईओपी | सबसे अहम सिद्धांत | 12, 12 ली॰ |
| CVE-2024-31331 | ए-297517712 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-34720 | A-319081336 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-34723 | ए-317048338 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
सिस्टम
इस सेक्शन में सबसे गंभीर जोखिम की वजह से, स्थानीय लोगों को मिलने वाले खास अधिकारों में बढ़ोतरी हो सकती है. इसके लिए, किसी खास अधिकार की ज़रूरत नहीं होगी.
| सीवीई | रेफ़रंस | टाइप | गंभीरता | अपडेट किए गए AOSP वर्शन |
|---|---|---|---|---|
| CVE-2024-31332 | A-299931076 | ईओपी | ज़्यादा | 13, 14 |
| CVE-2024-31339 | ए-292160348 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-34722 | ए-251514170 | ईओपी | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-34721 | ए-294406604 | आईडी | ज़्यादा | 12, 12 ली॰, 13, 14 |
Google Play के सिस्टम अपडेट
Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल होती हैं.
| सबकॉम्पोनेंट | सीवीई |
|---|---|
| मीडिया प्रोवाइडर | CVE-2024-34721 |
| आंकड़े वाले | CVE-2024-31339 |
05-07-2024 सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंका की जानकारी
नीचे दिए गए सेक्शन में, हम 05-07-2024 के पैच लेवल पर लागू होने वाली सुरक्षा से जुड़े हर जोखिम की जानकारी देते हैं. जोखिमों को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनसे असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़ी जानकारी, जोखिम की समस्या का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं, जैसे एओएसपी बदलाव सूची. जब किसी एक गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद आने वाले नंबर से लिंक हो जाते हैं.
कर्नेल
इस सेक्शन में जोखिम की आशंका की वजह से, स्थानीय लोगों को खास अधिकार मिल सकते हैं. इसके लिए, किसी खास अधिकार की ज़रूरत नहीं होगी.
| सीवीई | रेफ़रंस | टाइप | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2024-26923 |
A-336268889 अपस्ट्रीम कर्नेल [2] [3] [4] |
ईओपी | ज़्यादा | कर्नेल |
कॉम्पोनेंट को ग्रुप में बांटना
ये जोखिम, आर्म कॉम्पोनेंट पर असर डालते हैं. साथ ही, इस बारे में ज़्यादा जानकारी सीधे आर्म से ही ली जा सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर आर्म के ज़रिए दिया जाता है.
| सीवीई | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-0153 |
A-302570828 * | ज़्यादा | माली |
| CVE-2024-4610 |
A-260126994 * | ज़्यादा | माली |
कल्पना तकनीक
ये जोखिम की आशंकाएं, Imagination Technologies के कॉम्पोनेंट पर असर डालती हैं. साथ ही, ज़्यादा जानकारी सीधे Imagination Technologies से पाई जा सकती है. इन समस्याओं की गंभीरता का आकलन सीधे Imagination Technologies ने किया है.
| सीवीई | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-31334 |
A-337947582 * | ज़्यादा | पावरवीआर-जीपीयू |
| CVE-2024-31335 |
A-337951645 * | ज़्यादा | पावरवीआर-जीपीयू |
| CVE-2024-34724 |
A-331437482 * | ज़्यादा | पावरवीआर-जीपीयू |
| CVE-2024-34725 |
A-331438755 * | ज़्यादा | पावरवीआर-जीपीयू |
| CVE-2024-34726 |
A-331439207 * | ज़्यादा | पावरवीआर-जीपीयू |
MediaTek कॉम्पोनेंट
इन जोखिमों की वजह से MediaTek के कॉम्पोनेंट पर असर पड़ सकता है. इस बारे में ज़्यादा जानकारी सीधे MediaTek से मिल सकती है. इन समस्याओं की गंभीरता का आकलन सीधे MediaTek उपलब्ध कराता है.
| सीवीई | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| सीवीई-2024-20076 |
A-338887100 MOLY01297806 * |
ज़्यादा | मॉडम |
| सीवीई-2024-20077 |
A-338887097 MOLY01297807 * |
ज़्यादा | मॉडम |
Qualcomm के कॉम्पोनेंट
ये जोखिम, Qualcomm के कॉम्पोनेंट पर असर डालते हैं. इनके बारे में Qualcomm के सुरक्षा से जुड़े बुलेटिन या सुरक्षा से जुड़ी चेतावनी में ज़्यादा जानकारी दी गई है. इन समस्याओं की गंभीरता का आकलन सीधे Qualcomm के ज़रिए किया जाता है.
| सीवीई | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-23368 |
A-332315224 क्यूसी-सीआर#3522299 |
ज़्यादा | कर्नेल |
| CVE-2024-23372 |
A-332315102 QC-CR#3692589 [2] |
ज़्यादा | डिसप्ले |
| CVE-2024-23373 |
A-332315050 QC-CR#3692564 [2] |
ज़्यादा | डिसप्ले |
| CVE-2024-23380 |
A-332315362 QC-CR#3690718 [2] |
ज़्यादा | डिसप्ले |
Qualcomm क्लोज़्ड-सोर्स कॉम्पोनेंट
ये जोखिम, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर असर डालते हैं. इनके बारे में Qualcomm के सही सुरक्षा बुलेटिन या सुरक्षा चेतावनी में ज़्यादा जानकारी दी गई है. इन समस्याओं की गंभीरता का आकलन सीधे Qualcomm के ज़रिए किया जाता है.
| सीवीई | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-21461 |
A-318393487 * | सबसे अहम सिद्धांत | क्लोज़्ड सोर्स कॉम्पोनेंट |
| CVE-2024-21460 |
A-318393435 * | ज़्यादा | क्लोज़्ड सोर्स कॉम्पोनेंट |
| सीवीई-2024-21462 |
A-318394116 * | ज़्यादा | क्लोज़्ड सोर्स कॉम्पोनेंट |
| सीवीई-2024-21465 |
A-318393702 * | ज़्यादा | क्लोज़्ड सोर्स कॉम्पोनेंट |
| CVE-2024-21469 |
A-318393825 * | ज़्यादा | क्लोज़्ड सोर्स कॉम्पोनेंट |
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, उन आम सवालों के जवाब दिए गए हैं जो इस बुलेटिन को पढ़ने के बाद आम तौर पर पूछे जा सकते हैं.
1. मैं कैसे पता करूं कि इन समस्याओं को ठीक करने के लिए, मेरा डिवाइस अपडेट है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-07-2024 या इसके बाद के सिक्योरिटी पैच लेवल, 01-07-2024 सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं का समाधान करते हैं.
- 05-07-2024 या इसके बाद के सिक्योरिटी पैच लेवल, 2024-07-05 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं और पिछले सभी पैच लेवल का पता लगाते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इस हिसाब से सेट करना चाहिए:
- [ro.build.version.security_patch]:[01-07-2024]
- [ro.build.version.security_patch]:[05-07-2024]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख वाली स्ट्रिंग होगी, जो 01-07-2024 के सिक्योरिटी पैच लेवल से मेल खाती है. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानकारी के लिए, कृपया यह लेख देखें.
2. इस बुलेटिन में दो सुरक्षा पैच लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं. इसकी मदद से, Android पार्टनर उन जोखिमों के सबसेट को ज़्यादा तेज़ी से ठीक कर सकते हैं जो सभी Android डिवाइसों पर एक जैसे होते हैं. Android पार्टनर को इस बुलेटिन में दी गई सभी समस्याओं को ठीक करने और सबसे नए सुरक्षा पैच लेवल का इस्तेमाल करने की सलाह दी जाती है.
- जिन डिवाइसों में 2024-07-01 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं की जानकारी होनी चाहिए. साथ ही, उन सभी समस्याओं को ठीक करना भी ज़रूरी है जिनके बारे में सुरक्षा से जुड़े पिछले बुलेटिन में बताया गया था.
- जिन डिवाइसों में 05-07-2024 या इसके बाद के सुरक्षा पैच लेवल का इस्तेमाल किया जाता है उनमें सुरक्षा से जुड़े इस बुलेटिन में लागू होने वाले सभी पैच शामिल होने चाहिए.
पार्टनर को इस बात की सलाह दी जाती है कि वे सभी समस्याओं को एक ही अपडेट में ठीक कर लें.
3. टाइप कॉलम में दी गई एंट्री का क्या मतलब है?
जोखिम की आशंका की जानकारी वाली टेबल के टाइप कॉलम में दी गई एंट्री से पता चलता है कि सुरक्षा से जुड़े जोखिम की कैटगरी क्या है.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड इस्तेमाल करना |
| ईओपी | खास अधिकारों से जुड़ी शर्तें |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा अस्वीकार की गई |
| लागू नहीं | वर्गीकरण उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में दी गई जानकारी का क्या मतलब है?
जोखिम की आशंका की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android बग आईडी |
| क्यूसी- | Qualcomm रेफ़रंस नंबर |
| पु॰- | MediaTek रेफ़रंस नंबर |
| नहीं- | NVIDIA का रेफ़रंस नंबर |
| B- | ब्रॉडकॉम रेफ़रंस नंबर |
| यू- | UNISOC रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android की गड़बड़ी के आईडी के बगल में मौजूद * का क्या मतलब है?
जो समस्याएं सार्वजनिक तौर पर उपलब्ध नहीं हैं उनसे जुड़े रेफ़रंस आईडी के बगल में * बना होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए नए बाइनरी ड्राइवर में शामिल होता है. यह जानकारी Google Developer साइट पर उपलब्ध होती है.
6. सुरक्षा से जुड़े जोखिम की आशंकाएं, इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन में अलग-अलग कैटगरी में क्यों आती हैं, जैसे कि Pixel बुलेटिन?
सुरक्षा से जुड़े इस बुलेटिन में बताए गए सुरक्षा से जुड़े जोखिमों के बारे में, Android डिवाइसों पर सुरक्षा पैच के नए लेवल की जानकारी देना ज़रूरी है. सुरक्षा पैच लेवल की जानकारी देने के लिए, डिवाइस / पार्टनर के सुरक्षा बुलेटिन में सुरक्षा से जुड़े अतिरिक्त जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी अपने प्रॉडक्ट के लिए, सुरक्षा से जुड़े जोखिम की जानकारी पब्लिश कर सकती हैं, जैसे कि Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट बनाना |
|---|---|---|
| 1.0 | 1 जुलाई, 2024 | बुलेटिन प्रकाशित किया गया. |