साल 2026 से, हम दूसरी और चौथी तिमाही में AOSP के लिए सोर्स कोड पब्लिश करेंगे. ऐसा इसलिए किया जाएगा, ताकि हम अपने ट्रंक स्टेबल डेवलपमेंट मॉडल के साथ काम कर सकें और यह पक्का कर सकें कि प्लैटफ़ॉर्म, पूरे सिस्टम के लिए स्थिर बना रहे. AOSP बनाने और उसमें योगदान देने के लिए, android-latest-release का इस्तेमाल करें. android-latest-release मेनिफ़ेस्ट ब्रांच, हमेशा AOSP पर पुश की गई सबसे नई रिलीज़ का रेफ़रंस देगी. ज़्यादा जानकारी के लिए, AOSP में हुए बदलाव देखें.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Android सुरक्षा बुलेटिन—जुलाई 2024

पब्लिश करने की तारीख: 1 जुलाई, 2024

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़े जोखिम की आशंकाओं के बारे में जानकारी है. इन सभी समस्याओं को 5 जुलाई, 2024 या इसके बाद के सुरक्षा पैच लेवल में ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.

Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं के बारे में सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ कर दिए गए हैं. साथ ही, इस बुलेटिन में लिंक कर दिए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इन समस्याओं में सबसे गंभीर समस्या, फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर जोखिम की आशंका है. इससे, बिना किसी अतिरिक्त प्रोग्राम चलाने की अनुमति के, स्थानीय स्तर पर विशेषाधिकारों को बढ़ाया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि सुरक्षा से जुड़ी इस समस्या का फ़ायदा उठाने से, प्रभावित डिवाइस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी सुरक्षा कम करने वाली सुविधाओं को बंद कर दिया गया है या उन्हें सफलतापूर्वक बायपास कर दिया गया है.

Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं वाला सेक्शन देखें. इनसे Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.

Android और Google सेवा से जुड़ी कमियां

यह Android सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सेवाओं से मिलने वाली सुरक्षा सुविधाओं की खास जानकारी है. इन क्षमताओं की वजह से, Android पर सुरक्षा जोखिम की संभावना कम हो जाती है.

Android के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना ज़्यादा मुश्किल हो गया है. हम सभी उपयोगकर्ताओं को सलाह देते हैं कि वे Android के नए वर्शन पर अपडेट करें.
Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाएं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह उन लोगों के लिए खास तौर पर ज़रूरी है जो Google Play के अलावा किसी और प्लैटफ़ॉर्म से ऐप्लिकेशन इंस्टॉल करते हैं.

2024-07-01 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंकाओं की जानकारी

यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी जोखिम की आशंकाओं के बारे में जानकारी दी गई है जो 2024-07-01 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.

Framework

इस सेक्शन में सबसे गंभीर जोखिम की आशंका की वजह से, स्थानीय स्तर पर विशेषाधिकारों में बढ़ोतरी हो सकती है. इसके लिए, अतिरिक्त प्रोग्राम चलाने के विशेषाधिकारों की ज़रूरत नहीं होती.

CVE	संदर्भ	प्रकार	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2024-31320	A-329230490 [2]	ईओपी	गंभीर	12, 12L
CVE-2024-31331	A-297517712	ईओपी	ज़्यादा	12, 12L, 13, 14
CVE-2024-34720	A-319081336	ईओपी	ज़्यादा	12, 12L, 13, 14
CVE-2024-34723	A-317048338	ईओपी	ज़्यादा	12, 12L, 13, 14

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर कमज़ोरी की वजह से, स्थानीय स्तर पर विशेषाधिकारों में बढ़ोतरी हो सकती है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.

CVE	संदर्भ	प्रकार	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2024-31332	A-299931076	ईओपी	ज़्यादा	13, 14
CVE-2024-31339	A-292160348	ईओपी	ज़्यादा	12, 12L, 13, 14
CVE-2024-34721	A-294406604	आईडी	ज़्यादा	12, 12L, 13, 14

Google Play के सिस्टम अपडेट

प्रोजेक्ट मेनलाइन के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

सबकॉम्पोनेंट	CVE
MediaProvider	CVE-2024-34721
Statsd	CVE-2024-31339

5 जुलाई, 2024 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंकाओं की जानकारी

यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी जोखिम की आशंकाओं के बारे में जानकारी दी गई है जो 5 जुलाई, 2024 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और एओएसपी के अपडेट किए गए वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

कर्नेल

इस सेक्शन में मौजूद कमज़ोरी की वजह से, स्थानीय स्तर पर विशेषाधिकारों में बढ़ोतरी हो सकती है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.

CVE	संदर्भ	प्रकार	गंभीरता	सबकॉम्पोनेंट
CVE-2024-26923	A-336268889 अपस्ट्रीम कर्नल [2] [3] [4]	ईओपी	ज़्यादा	कर्नेल

ग्रुप के कॉम्पोनेंट

इन कमियों का असर Arm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे तौर पर Arm से मिल सकती है. इन समस्याओं के असर का आकलन, सीधे तौर पर Arm करता है.

CVE	संदर्भ	गंभीरता	सबकॉम्पोनेंट
CVE-2024-0153	A-302570828 *	ज़्यादा	माली
CVE-2024-4610	A-260126994 *	ज़्यादा	माली

इमैजिनेशन टेक्नोलॉजीज़

इन कमियों का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे तौर पर Imagination Technologies से मिल सकती है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Imagination Technologies करती है.

CVE	संदर्भ	गंभीरता	सबकॉम्पोनेंट
CVE-2024-31334	A-337947582 *	ज़्यादा	PowerVR-GPU
CVE-2024-31335	A-337951645 *	ज़्यादा	PowerVR-GPU
CVE-2024-34724	A-331437482 *	ज़्यादा	PowerVR-GPU
CVE-2024-34725	A-331438755 *	ज़्यादा	PowerVR-GPU
CVE-2024-34726	A-331439207 *	ज़्यादा	PowerVR-GPU

MediaTek कॉम्पोनेंट

इन कमज़ोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे MediaTek से मिल सकती है. इन समस्याओं का गंभीर आकलन सीधे तौर पर MediaTek से मिलता है.

CVE	संदर्भ	गंभीरता	सबकॉम्पोनेंट
CVE-2024-20076	A-338887100 MOLY01297806 *	ज़्यादा	मोडेम
CVE-2024-20077	A-338887097 MOLY01297807 *	ज़्यादा	मोडेम

Qualcomm कॉम्पोनेंट

इन जोखिम की आशंकाओं का असर Qualcomm कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के बारे में Qualcomm सीधे तौर पर बताता है कि ये कितनी गंभीर हैं.

CVE	संदर्भ	गंभीरता	सबकॉम्पोनेंट
CVE-2024-23368	A-332315224 QC-CR#3522299	ज़्यादा	कर्नेल
CVE-2024-23372	A-332315102 QC-CR#3692589 [2]	ज़्यादा	डिसप्ले
CVE-2024-23373	A-332315050 QC-CR#3692564 [2]	ज़्यादा	डिसप्ले
CVE-2024-23380	A-332315362 QC-CR#3690718 [2]	ज़्यादा	डिसप्ले

Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट

इन जोखिमों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	संदर्भ	गंभीरता	सबकॉम्पोनेंट
CVE-2024-21461	A-318393487 *	गंभीर	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-21460	A-318393435 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-21462	A-318394116 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-21465	A-318393702 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-21469	A-318393825 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और जवाब

इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद आम तौर पर पूछे जाने वाले सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि इन समस्याओं को ठीक करने के लिए मेरे डिवाइस को अपडेट किया गया है?

किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

1 जुलाई, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
5 जुलाई, 2024 या इसके बाद के सुरक्षा पैच का लेवल, इस तारीख और इससे पहले के सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करता है.

डिवाइस बनाने वाली कंपनियों को, इन अपडेट को शामिल करने के लिए पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:

[ro.build.version.security_patch]:[2024-07-01]
[ro.build.version.security_patch]:[2024-07-05]

Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play सिस्टम अपडेट में तारीख की ऐसी स्ट्रिंग होगी जो 1 जुलाई, 2024 के सुरक्षा पैच लेवल से मेल खाती हो. सुरक्षा अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस बुलेटिन में सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?

इस बुलेटिन में दो सुरक्षा पैच लेवल दिए गए हैं, ताकि Android पार्टनर, सुरक्षा से जुड़ी उन जोखिम की आशंकाओं को ठीक कर सकें जो सभी Android डिवाइसों में एक जैसी हैं. Android पार्टनर को इस बुलेटिन में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच लेवल के नए वर्शन का इस्तेमाल करने का सुझाव दिया जाता है.

1 जुलाई, 2024 के सुरक्षा पैच लेवल का इस्तेमाल करने वाले डिवाइसों में, उस सुरक्षा पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं को ठीक करने के तरीके भी शामिल होने चाहिए.
जिन डिवाइसों में 5 जुलाई, 2024 या इसके बाद का सुरक्षा पैच लेवल इस्तेमाल किया जाता है उनमें इस और पिछले सुरक्षा बुलेटिन में बताए गए सभी ज़रूरी पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करें जिन पर वे काम कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी देने वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की आशंकाओं की कैटगरी का रेफ़रंस देती है.

छोटा रूप	परिभाषा
आरसीई	रिमोट कोड एक्ज़ीक्यूशन
ईओपी	एलिवेशन ऑफ़ प्रिविलेज
आईडी	जानकारी ज़ाहिर करना
DoS	सेवा में रुकावट
लागू नहीं	क्लासिफ़िकेशन उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी देने वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, ऐसा प्रीफ़िक्स हो सकता है जिससे यह पता चलता हो कि रेफ़रंस वैल्यू किस संगठन से जुड़ी है.

प्रीफ़िक्स	रेफ़रंस
A-	Android में गड़बड़ी का आईडी
QC-	Qualcomm का रेफ़रंस नंबर
M-	MediaTek का रेफ़रंस नंबर
N-	NVIDIA का रेफ़रंस नंबर
B-	Broadcom का रेफ़रंस नंबर
U-	UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

जिन समस्याओं के बारे में सार्वजनिक तौर पर जानकारी उपलब्ध नहीं है उनके रेफ़रंस आईडी के बगल में * का निशान होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए उपलब्ध कराए गए नए बाइनरी ड्राइवर में शामिल होता है. ये ड्राइवर, Google Developer साइट पर उपलब्ध होते हैं.

6. सुरक्षा से जुड़े जोखिम की आशंकाओं को इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन के बीच क्यों बांटा गया है? जैसे, Pixel का बुलेटिन?

इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी जोखिम की आशंकाओं के लिए, Android डिवाइसों पर नया सुरक्षा पैच का लेवल दिखाना ज़रूरी है. सुरक्षा पैच का लेवल एलान करने के लिए, डिवाइस / पार्टनर के सुरक्षा बुलेटिन में बताए गए सुरक्षा से जुड़े जोखिम की अन्य आशंकाओं के बारे में जानकारी देने की ज़रूरत नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमज़ोरियों की जानकारी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन	तारीख	नोट
1.0	July 1, 2024	बुलेटिन पब्लिश किया गया.