अक्टूबर 2024 का Android सुरक्षा बुलेटिन

पब्लिश करने की तारीख: 7 अक्टूबर, 2024

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी कमजोरियों की जानकारी होती है. 05-10-2024 या इसके बाद के सिक्योरिटी पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सिक्योरिटी पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और अपडेट करना लेख पढ़ें.

Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के रिपॉज़िटरी में रिलीज़ कर दिए गए हैं. साथ ही, इन्हें इस बुलेटिन से लिंक किया गया है. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इन समस्याओं में से सबसे गंभीर, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़े जोखिम की आशंका ज़्यादा है. इसकी वजह से, रिमोट कोड लागू हो सकता है और इसे चलाने के लिए किसी खास अधिकार की ज़रूरत नहीं होती. गंभीरता का आकलन, इस बात पर आधारित होता है कि किसी डिवाइस में मौजूद कमजोरी का इस्तेमाल करने से, उस डिवाइस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमजोरियों से बचाने के लिए बनी सुविधाएं बंद हैं या नहीं या फिर उन्हें बाईपास किया जा चुका है.

Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुरक्षा उपायों और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी समस्याओं को हल करने के उपाय सेक्शन देखें. इन उपायों से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.

Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना

इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं के बारे में बताया गया है. जैसे, Google Play Protect. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

  • Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
  • Android की सुरक्षा टीम, Google Play Protect की मदद से, गलत इस्तेमाल पर नज़र बनाए रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.

01-10-2024 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंका की जानकारी

नीचे दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-10-2024 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद के नंबर से लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों पर, सुरक्षा अपडेट के साथ-साथ Google Play के सिस्टम अपडेट भी मिल सकते हैं.

फ़्रेमवर्क

इस सेक्शन में सबसे गंभीर जोखिम की वजह से, स्थानीय लोगों को मिलने वाले खास अधिकारों में बढ़ोतरी हो सकती है. इसके लिए, किसी खास अधिकार की ज़रूरत नहीं होगी.

CVE रेफ़रंस टाइप गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-0044 A-307532206 [2] ईओपी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-40676 A-349780950 EoP ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-40675 A-318683126 डीओएस ज़्यादा 12, 12 ली॰, 13, 14

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट कोड प्रोग्राम चलाया जा सकता है. इसके लिए, कोड चलाने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE रेफ़रंस टाइप गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-40673 A-309938635 आरसीई ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-40672 ए-327645387 EoP ज़्यादा 12, 12L, 13, 14
CVE-2024-40677 ए-327748846 ईओपी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-40674 A-343714914 डीओएस ज़्यादा 14

Google Play के सिस्टम अपडेट

Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल होती हैं.

सब-कॉम्पोनेंट CVE
Android रनटाइम CVE-2024-40673
वाई-फ़ाई CVE-2024-40674

05-10-2024 के सुरक्षा पैच के लेवल की कमज़ोरी की जानकारी

नीचे दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-10-2024 के पैच लेवल पर लागू होती हैं. जोखिमों को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनसे असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़ी जानकारी, जोखिम की समस्या का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब किसी एक गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद आने वाले नंबर से लिंक हो जाते हैं.

Imagination Technologies

ये जोखिम की आशंकाएं, Imagination Technologies के कॉम्पोनेंट पर असर डालती हैं. साथ ही, ज़्यादा जानकारी सीधे Imagination Technologies से पाई जा सकती है. इन समस्याओं की गंभीरता का आकलन सीधे Imagination Technologies ने किया है.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
CVE-2024-34732 A-340332428 * ज़्यादा PowerVR-GPU
CVE-2024-34733
A-340329532 * ज़्यादा PowerVR-GPU
सीवीई-2024-34748
A-346640884 * ज़्यादा पावरवीआर-जीपीयू
CVE-2024-40649
A-346635977 * ज़्यादा PowerVR-GPU
CVE-2024-40651
A-346633576 * ज़्यादा पावरवीआर-जीपीयू
CVE-2024-40669
A-354268756 * ज़्यादा PowerVR-GPU
CVE-2024-40670
A-354263469 * ज़्यादा पावरवीआर-जीपीयू

MediaTek के कॉम्पोनेंट

इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर MediaTek करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2024-20100
A-359699097
M-ALPS08998449 *
ज़्यादा wlan
CVE-2024-20101
A-359699100
M-ALPS08998901 *
ज़्यादा Wlan
CVE-2024-20103
A-359692770
M-ALPS09001358 *
ज़्यादा wlan
CVE-2024-20090
A-359692902
M-ALPS09028313 *
ज़्यादा vdec
CVE-2024-20092
A-359699094
M-ALPS09028313 *
ज़्यादा vdec
CVE-2024-20091
A-359699091
M-ALPS09028313 *
ज़्यादा vdec
CVE-2024-20093
A-359699096
M-ALPS09028313 *
ज़्यादा वीडीसी
सीवीई-2024-20094
A-359692772
M-MOLY00843282 *
ज़्यादा मॉडम

Qualcomm के कॉम्पोनेंट

इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा से जुड़े ब्यौरे या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Qualcomm करता है.

सीवीई रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2024-33049
A-344620633
QC-CR#3717569
ज़्यादा WLAN
CVE-2024-33069
A-350500907
QC-CR#3772014
ज़्यादा WLAN
CVE-2024-38399
A-350500647
QC-CR#3762629 [2]
ज़्यादा डिसप्ले

Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट

इस समस्या का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इस समस्या की गंभीरता का आकलन सीधे Qualcomm ने दिया है.

सीवीई रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2024-23369
A-332315343 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मैं कैसे पता करूं कि इन समस्याओं को ठीक करने के लिए, मेरा डिवाइस अपडेट है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

  • 01-10-2024 या इसके बाद के सुरक्षा पैच लेवल, 01-10-2024 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
  • 05-10-2024 या इसके बाद के सिक्योरिटी पैच लेवल, 05-10-2024 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं और पिछले सभी पैच लेवल का पता लगाते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इस हिसाब से सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2024-10-01]
  • [ro.build.version.security_patch]:[2024-10-05]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-10-2024 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानकारी के लिए, कृपया यह लेख देखें.

2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?

इस बुलेटिन में दो सिक्योरिटी पैच लेवल हैं, ताकि Android के पार्टनर, सभी Android डिवाइसों पर मौजूद मिलती-जुलती कमजोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस बुलेटिन में दी गई सभी समस्याएं ठीक करने और सबसे नए सुरक्षा पैच लेवल का इस्तेमाल करने की सलाह दी जाती है.

  • जिन डिवाइसों में 01-10-2024 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं को ठीक करने के तरीके भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
  • जिन डिवाइसों में 05-10-2024 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन पर वे काम कर रहे हैं.

3. टाइप कॉलम में दी गई एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.

संक्षेपण परिभाषा
आरसीई रिमोट कोड को चलाना
EoP प्रिविलेज एस्कलेशन
आईडी जानकारी ज़ाहिर करना
डीओएस सेवा अस्वीकार की गई
लागू नहीं कैटगरी उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.

प्रीफ़िक्स रेफ़रंस
A- Android गड़बड़ी का आईडी
QC- Qualcomm का रेफ़रंस नंबर
पु॰- MediaTek का रेफ़रंस नंबर
N- NVIDIA का रेफ़रंस नंबर
B- Broadcom का रेफ़रंस नंबर
U- UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android की गड़बड़ी के आईडी के बगल में मौजूद * का क्या मतलब है?

जो समस्याएं सार्वजनिक तौर पर उपलब्ध नहीं हैं उनसे जुड़े रेफ़रंस आईडी के बगल में * बना होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के सबसे नए बाइनरी ड्राइवर में शामिल होता है. यह सुविधा Google Developer साइट पर उपलब्ध होती है.

6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को इस सूचना और डिवाइस पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?

इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी जोखिमियों के लिए, Android डिवाइसों पर सबसे नए सिक्योरिटी पैच लेवल का एलान करना ज़रूरी है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस पार्टनर के सुरक्षा से जुड़े ब्यौरे में बताई गई, सुरक्षा से जुड़ी अन्य जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन तारीख नोट
1.0 7 अक्टूबर, 2024 बुलेटिन पब्लिश हो गया.