इस पेज का अनुवाद Cloud Translation API से किया गया है.

Android का सुरक्षा बुलेटिन—अगस्त 2024

5 अगस्त, 2024 को पब्लिश किया गया | 24 अक्टूबर, 2024 को अपडेट किया गया

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. सुरक्षा पैच के लेवल 05-08-2024 या उसके बाद के वर्शन में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना देखें.

Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए जाएंगे. एओएसपी लिंक उपलब्ध होने पर, हम उनके साथ इस बुलेटिन में बदलाव करेंगे.

इन समस्याओं में से सबसे गंभीर समस्या, फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा का बहुत ज़्यादा जोखिम है. इसकी वजह से, स्थानीय स्तर पर खास सुविधाओं को ऐक्सेस करने की अनुमति मिल सकती है. साथ ही, ' लागू करने के लिए खास अधिकार' की ज़रूरत नहीं होगी. गंभीरता का आकलन इस बात पर आधारित होता है कि जोखिम की आशंका का फ़ायदा, शायद ऐसे डिवाइस पर पड़ा है जिस पर इस समस्या का असर हुआ है. ऐसा यह मानते हुए किया जाता है कि डेवलपमेंट के मकसद से प्लैटफ़ॉर्म और सेवा पर पाबंदी का इस्तेमाल बंद कर दिया गया है या सुरक्षा से जुड़े नियमों को लागू नहीं किया गया है.

Android के प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुरक्षा उपायों और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी समस्याओं को हल करने के तरीके सेक्शन देखें. इन उपायों से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.

Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना

यहां Android सिक्योरिटी प्लैटफ़ॉर्म और Google Play Protect जैसी सेवा की सुरक्षा से जुड़ी, जोखिमों को कम करने के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमज़ोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, Android के नए वर्शन पर अपडेट करें.
Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर लगातार नज़र रखती है. साथ ही, नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.

01-08-2024 के सुरक्षा पैच लेवल की समस्या की जानकारी

नीचे दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-08-2024 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप किए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद के नंबर से लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट और Google Play के सिस्टम अपडेट भी मिल सकते हैं.

फ़्रेमवर्क

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर विशेषाधिकार बढ़ सकते हैं. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	अपडेट किए गए AOSP वर्शन
CVE-2023-20971	A-225880325	EoP	ज़्यादा	12, 12L, 13, 14
CVE-2023-21351	A-232798676	EoP	ज़्यादा	12, 12 ली॰, 13
CVE-2024-34731	A-319210610 [2] [3] [4] [5]	ईओपी	ज़्यादा	12, 12L, 13, 14
CVE-2024-34734	A-304772709	EoP	ज़्यादा	13, 14
CVE-2024-34735	A-336490997	EoP	ज़्यादा	12, 12L, 13
CVE-2024-34737	A-283103220	EoP	ज़्यादा	12, 12L, 13, 14
CVE-2024-34738	ए-336323279	EoP	ज़्यादा	13, 14
CVE-2024-34740	A-307288067 [2]	EoP	ज़्यादा	12, 12L, 13, 14
CVE-2024-34741	A-318683640	ईओपी	ज़्यादा	12, 12L, 13, 14
CVE-2024-34743	A-336648613	EoP	ज़्यादा	14
CVE-2024-34736	ए-288549440	आईडी	ज़्यादा	12, 12L, 13, 14
CVE-2024-34742	A-335232744	डीओएस	ज़्यादा	14

सिस्टम

इस सेक्शन में मौजूद जोखिम की वजह से, किसी भी अतिरिक्त अनुमति के बिना, जानकारी को रिमोट से ऐक्सेस किया जा सकता है.

सीवीई	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2024-34727	A-287184435	आईडी	ज़्यादा	12, 12L, 13, 14

Google Play के सिस्टम अपडेट

इस महीने, Google Play के सिस्टम अपडेट (Project Mainline) में सुरक्षा से जुड़ी कोई समस्या हल नहीं की गई है.

05-08-2024 सुरक्षा पैच लेवल से जुड़े जोखिम की आशंका की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-08-2024 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप किए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब किसी एक गड़बड़ी से जुड़े कई बदलाव होते हैं, तो दूसरी पहचान फ़ाइलें, गड़बड़ी के आईडी के बाद वाली संख्याओं से लिंक की जाती हैं.

कर्नेल

इस सेक्शन में मौजूद जोखिम की वजह से, रिमोट कोड को एक्ज़ीक्यूट करने की वजह से, सिस्टम को एक्ज़ीक्यूट करने के खास अधिकारों की ज़रूरत पड़ सकती है.

CVE	रेफ़रंस	टाइप	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-36971	A-343727534 अपस्ट्रीम कर्नेल [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]	आरसीई	ज़्यादा	कर्नेल

कॉम्पोनेंट को ग्रुप में बांटना

ये जोखिम, आर्म कॉम्पोनेंट पर असर डालते हैं. साथ ही, इस बारे में ज़्यादा जानकारी सीधे Arm से देखी जा सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Arm करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-2937	A-339866012 *	ज़्यादा	माली
CVE-2024-4607	A-339869945 *	ज़्यादा	माली

कल्पना टेक्नोलॉजी

इस समस्या का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Imagination Technologies से संपर्क करें. इस समस्या की गंभीरता का आकलन, Imagination Technologies सीधे तौर पर करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-31333	A-331435657 *	ज़्यादा	PowerVR-GPU

MediaTek के कॉम्पोनेंट

इस समस्या का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इस समस्या की गंभीरता का आकलन, सीधे MediaTek करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-20082	A-344434139 M-MOLY01182594 *	ज़्यादा	मॉडम

Qualcomm के कॉम्पोनेंट

इन कमजोरियों का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा से जुड़े बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-21478	A-323926460 QC-CR#3594987	ज़्यादा	डिसप्ले
CVE-2024-23381	A-339043781 QC-CR#3701594 [2]	ज़्यादा	डिसप्ले
CVE-2024-23382	A-339043615 QC-CR#3704061 [2]	ज़्यादा	डिसप्ले
CVE-2024-23383	A-339042492 QC-CR#3707659	ज़्यादा	डिसप्ले
CVE-2024-23384	A-339043323 QC-CR#3704870 [2] [3] [4]	ज़्यादा	डिसप्ले
CVE-2024-33010	A-339043396 QC-CR#3717571	ज़्यादा	WLAN
CVE-2024-33011	A-339043727 QC-CR#3717567	ज़्यादा	डब्ल्यूलैन
CVE-2024-33012	A-339043053 QC-CR#3717566	ज़्यादा	WLAN
CVE-2024-33013	A-339042691 QC-CR#3710085	ज़्यादा	डब्ल्यूलैन
CVE-2024-33014	A-339043382 QC-CR#3710081	ज़्यादा	WLAN
CVE-2024-33015	A-339043107 QC-CR#3710080	ज़्यादा	WLAN
CVE-2024-33018	A-339043500 QC-CR#3704796	ज़्यादा	WLAN
CVE-2024-33019	A-339043783 QC-CR#3704794	ज़्यादा	डब्ल्यूलैन
CVE-2024-33020	A-339043480 QC-CR#3704762	ज़्यादा	WLAN
CVE-2024-33023	A-339043278 QC-CR#3702019 [2]	ज़्यादा	डिसप्ले
CVE-2024-33024	A-339043270 QC-CR#3700072	ज़्यादा	WLAN
CVE-2024-33025	A-339042969 QC-CR#3700045	ज़्यादा	WLAN
CVE-2024-33026	A-339043880 QC-CR#3699954	ज़्यादा	WLAN
CVE-2024-33027	A-316373168 QC-CR#3697522	ज़्यादा	डिसप्ले
CVE-2024-33028	A-339043463 QC-CR#3694338	ज़्यादा	डिसप्ले

Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट

इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-23350	A-323919259 *	सबसे अहम	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-21481	A-323918669 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-23352	A-323918787 *	ज़्यादा	क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2024-23353	A-323918845 *	ज़्यादा	क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2024-23355	A-323918338 *	ज़्यादा	क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2024-23356	A-323919081 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-23357	A-323919249 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट

अक्सर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना देखें.

01-08-2024 या उसके बाद के सिक्योरिटी पैच लेवल, 01-08-2024 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
05-08-2024 या इसके बाद के सिक्योरिटी पैच लेवल, 05-08-2024 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने इन अपडेट को शामिल किया है उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:

[ro.build.version.security_patch]:[01-08-2024]
[ro.build.version.security_patch]:[05-08-2024]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-08-2024 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस सूचना में सुरक्षा पैच के दो लेवल क्यों हैं?

इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर सभी Android डिवाइसों पर एक जैसे जोखिमों के सबसेट को ज़्यादा तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के सबसे नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

जिन डिवाइसों में 01-08-2024 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
जिन डिवाइसों में 05-08-2024 या इससे बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए, सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.

संक्षेपण	परिभाषा
आरसीई	रिमोट कोड इस्तेमाल करना
ईओपी	प्रिविलेज एस्कलेशन
आईडी	जानकारी ज़ाहिर करना
डीओएस	सेवा में रुकावट
लागू नहीं	कैटगरी उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.

प्रीफ़िक्स	रेफ़रंस
A-	Android बग आईडी
QC-	Qualcomm का रेफ़रंस नंबर
M-	MediaTek का रेफ़रंस नंबर
N-	NVIDIA का रेफ़रंस नंबर
B-	ब्रॉडकॉम रेफ़रंस नंबर
यू-	UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

सार्वजनिक तौर पर उपलब्ध न होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए उपलब्ध नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google Developers साइट पर मिलते हैं.

6. सुरक्षा से जुड़े जोखिम की आशंकाएं, इस बुलेटिन और डिवाइस / पार्टनर की सुरक्षा से जुड़े बुलेटिन में अलग-अलग क्यों दिखाती हैं, जैसे कि Pixel बुलेटिन?

इस सुरक्षा बुलेटिन में दस्तावेज़ित सुरक्षा से जुड़ी जोखिम की आशंकाओं को Android डिवाइसों पर सबसे नए सुरक्षा पैच लेवल के बारे में बताना ज़रूरी है. सुरक्षा से जुड़ी अतिरिक्त जोखिमों को, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में दर्ज किया जाता है. हालांकि, सुरक्षा पैच लेवल का एलान करने के लिए, इन जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी अपने प्रॉडक्ट की सुरक्षा से जुड़े जोखिम की जानकारी पब्लिश कर सकती हैं, जैसे कि Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन	तारीख	नोट
1.0	5 अगस्त, 2024	बुलेटिन पब्लिश हो गया.
1.1	24 अक्टूबर, 2024	अपडेट की गई सीवीई टेबल