Android सुरक्षा बुलेटिन—सितंबर 2024

पब्लिश करने की तारीख: 3 सितंबर, 2024

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़े जोखिम की आशंकाओं के बारे में जानकारी है. 5 सितंबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.

Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं के बारे में सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ किए जाएंगे. AOSP के लिंक उपलब्ध होने पर, हम इस बुलेटिन को अपडेट करेंगे.

इनमें से सबसे गंभीर समस्या, फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर जोखिम की आशंका है. इससे, खास अधिकारों वाले ऐक्सेस के लिए स्थानीय स्तर पर अनुरोध किया जा सकता है. इसके लिए, अतिरिक्त प्रोग्राम चलाने के अधिकारों की ज़रूरत नहीं होती. गंभीरता का आकलन इस आधार पर किया जाता है कि सुरक्षा से जुड़ी इस समस्या का असर, प्रभावित डिवाइस पर किस तरह पड़ेगा. इसमें यह मान लिया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी सुरक्षा कम करने वाली सुविधाओं को बंद कर दिया गया है या उन्हें सफलतापूर्वक बायपास कर दिया गया है.

Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं वाला सेक्शन देखें. इनसे Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.

Android और Google सेवा से जुड़ी कमियां

यहां Android सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सुरक्षा सेवाओं से जुड़ी कमियों को दूर करने के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा जोखिम की संभावना को कम किया जा सकता है.

  • Android के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना ज़्यादा मुश्किल हो गया है. हम सभी उपयोगकर्ताओं को सलाह देते हैं कि वे Android के नए वर्शन पर अपडेट करें.
  • Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाएं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह उन लोगों के लिए खास तौर पर ज़रूरी है जो Google Play के अलावा किसी और प्लैटफ़ॉर्म से ऐप्लिकेशन इंस्टॉल करते हैं.

सुरक्षा पैच का लेवल 2024-09-01 से जुड़ी जोखिम की आशंका की जानकारी

यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी जोखिम की आशंकाओं के बारे में जानकारी दी गई है जो 2024-09-01 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.

Framework

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की आशंका की वजह से, बिना किसी अतिरिक्त प्रोग्राम चलाने के खास अधिकारों के, स्थानीय स्तर पर विशेषाधिकारों को बढ़ाया जा सकता है.

CVE संदर्भ प्रकार गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-32896 A-324321147 [2] ईओपी ज़्यादा 12, 12L, 13, 14
CVE-2024-40658 A-329641908 ईओपी ज़्यादा 12, 12L, 13, 14
CVE-2024-40662 A-261721900 ईओपी ज़्यादा 12, 12L, 13, 14

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की आशंका की वजह से, बिना किसी अतिरिक्त प्रोग्राम चलाने के खास अधिकारों के, स्थानीय स्तर पर विशेषाधिकारों को बढ़ाया जा सकता है.

CVE संदर्भ प्रकार गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-40650 A-293199910 ईओपी ज़्यादा 12, 12L, 13, 14
CVE-2024-40652 A-327749022 ईओपी ज़्यादा 12, 12L, 13, 14
CVE-2024-40654 A-333364513 ईओपी ज़्यादा 12, 12L, 13, 14
CVE-2024-40655 A-300904123 ईओपी ज़्यादा 12, 12L, 13, 14
CVE-2024-40657 A-341886134 ईओपी ज़्यादा 12, 12L, 13, 14
CVE-2024-40656 A-329058967 आईडी ज़्यादा 12, 12L, 13, 14
CVE-2024-40659 A-336976105 DoS ज़्यादा 14

Google Play के सिस्टम अपडेट

प्रोजेक्ट मेनलाइन के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

सबकॉम्पोनेंट CVE
रिमोट की प्रोविज़निंग CVE-2024-40659

2024-09-05 सुरक्षा पैच का लेवल से जुड़ी जोखिम की आशंकाओं की जानकारी

यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी जोखिम की आशंकाओं के बारे में जानकारी दी गई है जो 5 सितंबर, 2024 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

कर्नेल

इस सेक्शन में मौजूद कमज़ोरी की वजह से, स्थानीय स्तर पर विशेषाधिकारों को बढ़ाया जा सकता है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.

CVE संदर्भ प्रकार गंभीरता सबकॉम्पोनेंट
CVE-2024-36972 A-342490466
अपस्ट्रीम कर्नल [2] [3] [4] [5] [6]
ईओपी ज़्यादा वॉलीबॉल का नेट

ग्रुप के कॉम्पोनेंट

इस कमज़ोरी का असर Arm के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, सीधे तौर पर Arm से मिल सकती है. इस समस्या की गंभीरता का आकलन, सीधे तौर पर Arm करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-3655
A-346629290 * ज़्यादा माली

इमैजिनेशन टेक्नोलॉजीज़

इन कमियों का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे तौर पर Imagination Technologies से मिल सकती है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Imagination Technologies करती है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-23716
A-350535746 * ज़्यादा PowerVR-GPU
CVE-2024-31336
A-337949672 * ज़्यादा PowerVR-GPU

Unisoc के कॉम्पोनेंट

इन कमियों का असर Unisoc के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे Unisoc से मिल सकती है. इन समस्याओं की गंभीरता का आकलन Unisoc सीधे तौर पर करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-39431
A-349917018
U-2638126 *
ज़्यादा मोडेम
CVE-2024-39432
A-349916584
U-2638173 *
ज़्यादा मोडेम

Qualcomm कॉम्पोनेंट

इन जोखिम की आशंकाओं का असर Qualcomm कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के बारे में Qualcomm सीधे तौर पर बताता है कि ये कितनी गंभीर हैं.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-33042
A-344620519
QC-CR#3774878
गंभीर WLAN
CVE-2024-33052
A-344620630
QC-CR#3773240
गंभीर WLAN
CVE-2024-33034
A-350500940
QC-CR#3744850
ज़्यादा डिसप्ले
CVE-2024-33035
A-344620673
QC-CR#3734251
ज़्यादा डिसप्ले
CVE-2024-33038
A-344620773
QC-CR#3696086
ज़्यादा कैमरा
CVE-2024-33043
A-344620433
QC-CR#3774849
ज़्यादा WLAN
CVE-2024-33045
A-344620353
QC-CR#3745620
ज़्यादा बूटलोडर
CVE-2024-33048
A-344620292
QC-CR#3704739
QC-CR#3707241
ज़्यादा WLAN
CVE-2024-33050
A-344620238
QC-CR#3717568
ज़्यादा WLAN
CVE-2024-33054
A-344620733
QC-CR#3667735
ज़्यादा कैमरा
CVE-2024-33057
A-344620215
QC-CR#3699767
ज़्यादा WLAN
CVE-2024-33060
A-350500584
QC-CR#3735984 [2]
ज़्यादा कर्नेल

Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट

इन जोखिमों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Qualcomm करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-23358
A-328083897 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-23359
A-328083933 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-23362
A-328084308 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-23364
A-328083671 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-23365
A-328083987 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-33016
A-339043498 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-33051
A-344620373 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और जवाब

इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद आम तौर पर पूछे जाने वाले सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि इन समस्याओं को ठीक करने के लिए मेरे डिवाइस को अपडेट किया गया है?

किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

  • 1 सितंबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
  • 5 सितंबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख और इससे पहले के सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.

डिवाइस बनाने वाली कंपनियों को, इन अपडेट को शामिल करने के लिए पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2024-09-01]
  • [ro.build.version.security_patch]:[2024-09-05]

Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play सिस्टम अपडेट में तारीख की ऐसी स्ट्रिंग होगी जो 1 सितंबर, 2024 के सुरक्षा पैच लेवल से मेल खाती हो. सुरक्षा अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस बुलेटिन में सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?

इस बुलेटिन में दो सुरक्षा पैच लेवल दिए गए हैं, ताकि Android पार्टनर, सुरक्षा से जुड़ी उन जोखिम की आशंकाओं को ठीक कर सकें जो सभी Android डिवाइसों में एक जैसी हैं. Android पार्टनर को इस बुलेटिन में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच लेवल के नए वर्शन का इस्तेमाल करने का सुझाव दिया जाता है.

  • 1 सितंबर, 2024 के सुरक्षा पैच लेवल का इस्तेमाल करने वाले डिवाइसों में, उस सुरक्षा पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं के समाधान भी शामिल होने चाहिए.
  • जिन डिवाइसों में 5 सितंबर, 2024 या इसके बाद का सुरक्षा पैच लेवल इस्तेमाल किया जाता है उनमें इस और पिछले सुरक्षा बुलेटिन में बताए गए सभी ज़रूरी पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करें जिन पर वे काम कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी देने वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की आशंकाओं की कैटगरी का रेफ़रंस देती है.

छोटा रूप परिभाषा
आरसीई रिमोट कोड एक्ज़ीक्यूशन
ईओपी एलिवेशन ऑफ़ प्रिविलेज
आईडी जानकारी ज़ाहिर करना
DoS सेवा में रुकावट
लागू नहीं क्लासिफ़िकेशन उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी देने वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, ऐसा प्रीफ़िक्स हो सकता है जिससे यह पता चलता हो कि रेफ़रंस वैल्यू किस संगठन से जुड़ी है.

प्रीफ़िक्स रेफ़रंस
A- Android में गड़बड़ी का आईडी
QC- Qualcomm का रेफ़रंस नंबर
M- MediaTek का रेफ़रंस नंबर
N- NVIDIA का रेफ़रंस नंबर
B- Broadcom का रेफ़रंस नंबर
U- UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

जिन समस्याओं के बारे में सार्वजनिक तौर पर जानकारी उपलब्ध नहीं है उनके रेफ़रंस आईडी के बगल में * का निशान होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए उपलब्ध कराए गए नए बाइनरी ड्राइवर में शामिल होता है. ये ड्राइवर, Google Developer साइट पर उपलब्ध होते हैं.

6. सुरक्षा से जुड़े जोखिम की आशंकाओं को इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन के बीच क्यों बांटा गया है? जैसे, Pixel का बुलेटिन?

इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी जोखिम की आशंकाओं के लिए, Android डिवाइसों पर नया सुरक्षा पैच का लेवल दिखाना ज़रूरी है. सुरक्षा पैच का लेवल एलान करने के लिए, डिवाइस / पार्टनर के सुरक्षा बुलेटिन में बताए गए सुरक्षा से जुड़े जोखिम की अन्य आशंकाओं के बारे में जानकारी देने की ज़रूरत नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमज़ोरियों की जानकारी पब्लिश कर सकती हैं. जैसे, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन तारीख नोट
1.0 3 सितंबर, 2024 बुलेटिन पब्लिश किया गया