Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़े जोखिम की आशंकाओं के बारे में जानकारी होती है. इन सभी समस्याओं को 5 अगस्त, 2024 या इसके बाद के सुरक्षा पैच लेवल ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं के बारे में सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉज़िटरी में रिलीज़ किए जाएंगे. एओएसपी के लिंक उपलब्ध होने पर, हम इस बुलेटिन को अपडेट करेंगे.
इनमें से सबसे गंभीर समस्या, फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी एक बड़ी जोखिम की आशंका है. इससे, बिना किसी अतिरिक्त प्रोग्राम चलाने की अनुमति के, स्थानीय स्तर पर विशेषाधिकारों को बढ़ाया जा सकता है. खतरे के स्तर का आकलन इस आधार पर किया जाता है कि सुरक्षा से जुड़ी इस कमज़ोरी का फ़ायदा उठाने से, प्रभावित डिवाइस पर क्या असर पड़ सकता है. इसमें यह माना जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़े सुरक्षा उपायों को बंद कर दिया गया है या उन्हें सफलतापूर्वक बायपास कर दिया गया है.
Android के सुरक्षा प्लैटफ़ॉर्म की सुरक्षा सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं वाला सेक्शन देखें. इनसे Android प्लैटफ़ॉर्म की सुरक्षा बेहतर होती है.
Android और Google की सेवा से जुड़ी कमियां
यह Android सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सुरक्षा सेवाओं से जुड़ी समस्याओं को कम करने के तरीकों की खास जानकारी है. इन सुविधाओं से, Android पर सुरक्षा से जुड़ी कमियों का फ़ायदा उठाए जाने की संभावना कम हो जाती है.
- Android के नए वर्शन में कई तरह के सुधार किए गए हैं. इस वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हम सभी उपयोगकर्ताओं को सलाह देते हैं कि वे Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाएं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह उन लोगों के लिए खास तौर पर ज़रूरी है जो Google Play के अलावा किसी और प्लैटफ़ॉर्म से ऐप्लिकेशन इंस्टॉल करते हैं.
2024-08-01 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंकाओं की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 2024-08-01 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और एओएसपी के अपडेट किए गए वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
Framework
इस सेक्शन में सबसे गंभीर जोखिम की आशंका की वजह से, स्थानीय स्तर पर विशेषाधिकारों को बढ़ाया जा सकता है. इसके लिए, किसी अतिरिक्त प्रोग्राम चलाने के विशेषाधिकार की ज़रूरत नहीं होती.
| CVE | संदर्भ | प्रकार | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2023-20971 | A-225880325 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2023-21351 | A-232798676 | ईओपी | ज़्यादा | 12, 12L, 13 |
| CVE-2024-34731 | A-319210610 [2] [3] [4] [5] | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-34734 | A-304772709 | ईओपी | ज़्यादा | 13, 14 |
| CVE-2024-34735 | A-336490997 | ईओपी | ज़्यादा | 12, 12L, 13 |
| CVE-2024-34737 | A-283103220 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-34738 | A-336323279 | ईओपी | ज़्यादा | 13, 14 |
| CVE-2024-34740 | A-307288067 [2] | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-34741 | A-318683640 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-34743 | A-336648613 | ईओपी | ज़्यादा | 14 |
| CVE-2024-34736 | A-288549440 | आईडी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-34742 | A-335232744 | DoS | ज़्यादा | 14 |
सिस्टम
इस सेक्शन में मौजूद कमज़ोरी की वजह से, दूर से ही जानकारी ज़ाहिर हो सकती है. इसके लिए, किसी अन्य एक्ज़ीक्यूशन के अधिकारों की ज़रूरत नहीं होती.
| CVE | संदर्भ | प्रकार | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 | आईडी | ज़्यादा | 12, 12L, 13, 14 |
Google Play के सिस्टम अपडेट
इस महीने, Google Play सिस्टम अपडेट (प्रोजेक्ट मेनलाइन) में सुरक्षा से जुड़ी कोई समस्या ठीक नहीं की गई है.
5 अगस्त, 2024 के सुरक्षा पैच के लेवल से जुड़ी जोखिम की आशंका की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 5 अगस्त, 2024 के पैच लेवल पर लागू होती हैं. कमज़ोरियों को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और एओएसपी के अपडेट किए गए वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
कर्नेल
इस सेक्शन में मौजूद जोखिम की आशंका की वजह से, सिस्टम के ऐक्सेस लेवल पर रिमोट कोड एक्ज़ीक्यूशन किया जा सकता है. इसके लिए, सिस्टम के ऐक्सेस लेवल की अनुमतियां ज़रूरी होती हैं.
| CVE | संदर्भ | प्रकार | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 अपस्ट्रीम कर्नल [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] |
आरसीई | ज़्यादा | कर्नेल |
ग्रुप के कॉम्पोनेंट
इन कमज़ोरियों का असर Arm कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे तौर पर Arm से मिल सकती है. इन समस्याओं के असर का आकलन, सीधे तौर पर Arm करता है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | ज़्यादा | माली |
| CVE-2024-4607 |
A-339869945 * | ज़्यादा | माली |
इमैजिनेशन टेक्नोलॉजीज़
इस जोखिम की आशंका का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, सीधे Imagination Technologies से मिल सकती है. इस समस्या के गंभीर होने का आकलन, Imagination Technologies ने किया है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | ज़्यादा | PowerVR-GPU |
MediaTek कॉम्पोनेंट
इस कमज़ोरी का असर MediaTek के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, सीधे तौर पर MediaTek से मिल सकती है. इस समस्या के गंभीर होने का आकलन, सीधे तौर पर MediaTek ने किया है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
ज़्यादा | मोडेम |
Qualcomm कॉम्पोनेंट
इन जोखिमों का असर Qualcomm कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के बारे में, Qualcomm सीधे तौर पर जानकारी देता है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
ज़्यादा | डिसप्ले |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
ज़्यादा | डिसप्ले |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
ज़्यादा | डिसप्ले |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
ज़्यादा | डिसप्ले |
| CVE-2024-23384 |
A-339043323
QC-CR#3704870 [2] [3] [4] |
ज़्यादा | डिसप्ले |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
ज़्यादा | WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
ज़्यादा | WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
ज़्यादा | WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
ज़्यादा | WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
ज़्यादा | WLAN |
| CVE-2024-33015 |
A-339043107
QC-CR#3710080 |
ज़्यादा | WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
ज़्यादा | WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
ज़्यादा | WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
ज़्यादा | WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
ज़्यादा | डिसप्ले |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
ज़्यादा | WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
ज़्यादा | WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
ज़्यादा | WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
ज़्यादा | डिसप्ले |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
ज़्यादा | डिसप्ले |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन जोखिमों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | गंभीर | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-21481 |
A-323918669 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-23352 |
A-323918787 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-23353 |
A-323918845 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-23355 |
A-323918338 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-23356 |
A-323919081 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-23357 |
A-323919249 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद आम तौर पर पूछे जाने वाले सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि इन समस्याओं को ठीक करने के लिए मेरे डिवाइस को अपडेट किया गया है?
किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.
- 1 अगस्त, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
- 5 अगस्त, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख और इससे पहले के सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
डिवाइस बनाने वाली कंपनियों को, इन अपडेट को शामिल करने के लिए पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2024-08-01]
- [ro.build.version.security_patch]:[2024-08-05]
Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play सिस्टम अपडेट में तारीख की ऐसी स्ट्रिंग होगी जो 1 अगस्त, 2024 के सुरक्षा पैच लेवल से मेल खाती हो. सुरक्षा अपडेट इंस्टॉल करने के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस बुलेटिन में सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?
इस बुलेटिन में दो सुरक्षा पैच लेवल दिए गए हैं, ताकि Android पार्टनर उन जोखिम की आशंकाओं को ठीक कर सकें जो सभी Android डिवाइसों में एक जैसी हैं. Android पार्टनर को सलाह दी जाती है कि वे इस बुलेटिन में बताई गई सभी समस्याओं को ठीक करें और सुरक्षा पैच का लेवल के नए वर्शन का इस्तेमाल करें.
- 1 अगस्त, 2024 के सुरक्षा पैच लेवल का इस्तेमाल करने वाले डिवाइसों में, उस सुरक्षा पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं के समाधान भी शामिल होने चाहिए.
- जिन डिवाइसों में 5 अगस्त, 2024 या इसके बाद का सुरक्षा पैच का लेवल इस्तेमाल किया जाता है उनमें इस और पिछले सुरक्षा बुलेटिन में बताए गए सभी ज़रूरी पैच शामिल होने चाहिए.
पार्टनर को सुझाव दिया जाता है कि वे एक ही अपडेट में, उन सभी समस्याओं को ठीक करें जिन पर वे काम कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की आशंका की जानकारी देने वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की आशंकाओं की कैटगरी का रेफ़रंस देती है.
| छोटा रूप | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड एक्ज़ीक्यूशन |
| ईओपी | एलिवेशन ऑफ़ प्रिविलेज |
| आईडी | जानकारी ज़ाहिर करना |
| DoS | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की आशंका की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, ऐसा प्रीफ़िक्स हो सकता है जिससे यह पता चलता हो कि रेफ़रंस वैल्यू किस संगठन से जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android में गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
जिन समस्याओं के बारे में सार्वजनिक तौर पर जानकारी उपलब्ध नहीं है उनके रेफ़रंस आईडी के बगल में * का निशान होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए उपलब्ध नए बाइनरी ड्राइवर में शामिल होता है. ये ड्राइवर, Google की डेवलपर साइट पर उपलब्ध होते हैं.
6. सुरक्षा से जुड़े जोखिम की आशंकाओं को इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन के बीच क्यों बांटा गया है? जैसे, Pixel का बुलेटिन?
इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी जोखिम की आशंकाओं के लिए, Android डिवाइसों पर नया 'सुरक्षा पैच का लेवल' दिखाना ज़रूरी है. सुरक्षा पैच का लेवल घोषित करने के लिए, डिवाइस / पार्टनर के सुरक्षा बुलेटिन में बताए गए सुरक्षा से जुड़े जोखिम की अन्य आशंकाओं के बारे में जानकारी देने की ज़रूरत नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमज़ोरियों की जानकारी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 5 अगस्त, 2024 | बुलेटिन पब्लिश किया गया. |
| 1.1 | 24 अक्टूबर, 2024 | CVE की अपडेट की गई टेबल |