हमारा सुझाव है कि 27 मार्च, 2025 से AOSP को बनाने और उसमें योगदान देने के लिए, aosp-main के बजाय android-latest-release का इस्तेमाल करें. ज़्यादा जानकारी के लिए, AOSP में हुए बदलाव लेख पढ़ें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

Android सुरक्षा बुलेटिन—सितंबर 2024
संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

पब्लिश करने की तारीख: 3 सितंबर, 2024

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी कमजोरियों की जानकारी होती है. 05-09-2024 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए जाएंगे. AOSP के लिंक उपलब्ध होने पर, हम इस सूचना में बदलाव करेंगे.

इनमें से सबसे गंभीर समस्या, फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी गंभीर समस्या है. इसकी वजह से, स्थानीय स्तर पर ऐक्सेस लेवल को बढ़ाया जा सकता है. इसके लिए, ऐक्सेस करने के लिए ज़्यादा अनुमतियों की ज़रूरत नहीं होती. गंभीरता का आकलन, इस बात पर आधारित होता है कि किसी डिवाइस में मौजूद कमजोरी का इस्तेमाल करने से, उस डिवाइस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमजोरियों से बचाने के लिए बनी सुविधाएं बंद हैं या नहीं या फिर उन्हें बाईपास किया जा चुका है.

Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी समस्याओं को हल करने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा बेहतर होती है.

Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना

इस लेख में, Android के सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सेवाओं से जुड़ी सुरक्षा से जुड़ी सुविधाओं के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, Android के नए वर्शन पर अपडेट करें.
Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर लगातार नज़र रखती है. साथ ही, नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.

01-09-2024 के सुरक्षा पैच लेवल की समस्या की जानकारी

यहां दिए गए सेक्शन में, हमने 01-09-2024 के पैच लेवल पर लागू होने वाली, सुरक्षा से जुड़ी हर संवेदनशील जानकारी दी है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद के नंबर से लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों पर, सुरक्षा अपडेट के साथ-साथ Google Play के सिस्टम अपडेट भी मिल सकते हैं.

फ़्रेमवर्क

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल को बढ़ाया जा सकता है. इसके लिए, ऐक्सेस करने के लिए, कोई और अनुमति की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2024-32896	A-324321147 [2]	EoP	ज़्यादा	12, 12L, 13, 14
CVE-2024-40658	A-329641908	EoP	ज़्यादा	12, 12L, 13, 14
CVE-2024-40662	A-261721900	EoP	ज़्यादा	12, 12L, 13, 14

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस की अनुमति बढ़ सकती है. इसके लिए, ऐक्सेस करने की कोई और अनुमति ज़रूरी नहीं है.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2024-40650	A-293199910	EoP	ज़्यादा	12, 12L, 13, 14
CVE-2024-40652	A-327749022	EoP	ज़्यादा	12, 12L, 13, 14
CVE-2024-40654	A-333364513	EoP	ज़्यादा	12, 12L, 13, 14
CVE-2024-40655	A-300904123	EoP	ज़्यादा	12, 12L, 13, 14
CVE-2024-40657	A-341886134	EoP	ज़्यादा	12, 12L, 13, 14
CVE-2024-40656	A-329058967	आईडी	ज़्यादा	12, 12L, 13, 14
CVE-2024-40659	A-336976105	डीओएस	ज़्यादा	14

Google Play के सिस्टम अपडेट

Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

सब-कॉम्पोनेंट	CVE
रिमोट पासकोड प्रोविज़निंग	CVE-2024-40659

05-09-2024 के सुरक्षा पैच लेवल की समस्या की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी देते हैं जो 05-09-2024 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद के नंबर से लिंक किए जाते हैं.

कर्नेल

इस सेक्शन में मौजूद जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस की अनुमति बढ़ सकती है. इसके लिए, प्रोसेस को लागू करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-36972	A-342490466 अपस्ट्रीम कर्नेल [2] [3] [4] [5] [6]	EoP	ज़्यादा	कुल

ग्रुप के कॉम्पोनेंट

इस समस्या का असर Arm के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Arm की वेबसाइट पर जाएं. इस समस्या की गंभीरता का आकलन, सीधे तौर पर Arm करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-3655	A-346629290 *	ज़्यादा	माली

Imagination Technologies

इन कमजोरियों का असर, Imagination Technologies के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Imagination Technologies से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Imagination Technologies करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-23716	A-350535746 *	ज़्यादा	PowerVR-GPU
CVE-2024-31336	A-337949672 *	ज़्यादा	PowerVR-GPU

Unisoc के कॉम्पोनेंट

इन समस्याओं का असर Unisoc के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Unisoc से संपर्क करें. इन समस्याओं के गंभीर होने की जानकारी, सीधे तौर पर Unisoc देता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-39431	A-349917018 U-2638126 *	ज़्यादा	मॉडम
CVE-2024-39432	A-349916584 U-2638173 *	ज़्यादा	मॉडम

Qualcomm के कॉम्पोनेंट

इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा से जुड़े ब्यौरे या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-33042	A-344620519 QC-CR#3774878	सबसे अहम	वाई-फ़ाई
CVE-2024-33052	A-344620630 QC-CR#3773240	सबसे अहम	वाई-फ़ाई
CVE-2024-33034	A-350500940 QC-CR#3744850	ज़्यादा	डिसप्ले
CVE-2024-33035	A-344620673 QC-CR#3734251	ज़्यादा	डिसप्ले
CVE-2024-33038	A-344620773 QC-CR#3696086	ज़्यादा	कैमरा
CVE-2024-33043	A-344620433 QC-CR#3774849	ज़्यादा	वाई-फ़ाई
CVE-2024-33045	A-344620353 QC-CR#3745620	ज़्यादा	बूटलोडर
CVE-2024-33048	A-344620292 QC-CR#3704739 QC-CR#3707241	ज़्यादा	वाई-फ़ाई
CVE-2024-33050	A-344620238 QC-CR#3717568	ज़्यादा	वाई-फ़ाई
CVE-2024-33054	A-344620733 QC-CR#3667735	ज़्यादा	कैमरा
CVE-2024-33057	A-344620215 QC-CR#3699767	ज़्यादा	वाई-फ़ाई
CVE-2024-33060	A-350500584 QC-CR#3735984 [2]	ज़्यादा	कर्नेल

Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट

इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-23358	A-328083897 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-23359	A-328083933 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-23362	A-328084308 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-23364	A-328083671 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-23365	A-328083987 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-33016	A-339043498 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-33051	A-344620373 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और अपडेट करना लेख पढ़ें.

01-09-2024 या उसके बाद के सिक्योरिटी पैच लेवल, 01-09-2024 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
05-09-2024 या उसके बाद के सिक्योरिटी पैच लेवल, 05-09-2024 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:

[ro.build.version.security_patch]:[2024-09-01]
[ro.build.version.security_patch]:[2024-09-05]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-09-2024 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानकारी के लिए, कृपया यह लेख पढ़ें.

2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?

इस बुलेटिन में दो सिक्योरिटी पैच लेवल हैं, ताकि Android के पार्टनर, सभी Android डिवाइसों पर एक जैसी कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android के पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के सबसे नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

जिन डिवाइसों में 01-09-2024 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं को ठीक करने के तरीके भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
जिन डिवाइसों में 05-09-2024 या इसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन पर वे काम कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.

संक्षेपण	परिभाषा
आरसीई	रिमोट कोड को चलाना
EoP	प्रिविलेज एस्कलेशन
आईडी	जानकारी ज़ाहिर करना
डीओएस	सेवा में रुकावट
लागू नहीं	क्लासिफ़िकेशन उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिसके लिए रेफ़रंस वैल्यू दी गई है.

प्रीफ़िक्स	रेफ़रंस
A-	Android गड़बड़ी का आईडी
QC-	Qualcomm का रेफ़रंस नंबर
M-	MediaTek का रेफ़रंस नंबर
N-	NVIDIA का रेफ़रंस नंबर
B-	Broadcom का रेफ़रंस नंबर
U-	UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

सार्वजनिक तौर पर उपलब्ध न होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए उपलब्ध नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.

6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को, इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel के बुलेटिन के बीच क्यों बांटा जाता है?

इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी जोखिमियों के लिए, Android डिवाइसों पर सबसे नए सिक्योरिटी पैच लेवल का एलान करना ज़रूरी है. सुरक्षा से जुड़ी जोखिमों की जानकारी, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में दी जाती है. हालांकि, सुरक्षा पैच लेवल का एलान करने के लिए, इन जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमज़ोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन	तारीख	अहम जानकारी
1.0	3 सितंबर, 2024	बुलेटिन पब्लिश किया गया