अक्टूबर 2024 का Android सुरक्षा बुलेटिन

पब्लिश करने की तारीख: 7 अक्टूबर, 2024

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़े जोखिम की आशंकाओं के बारे में जानकारी है. इन सभी समस्याओं को 5 अक्टूबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.

Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं के बारे में सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ कर दिए गए हैं. साथ ही, इस बुलेटिन में लिंक कर दिए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इन समस्याओं में सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ा एक ऐसा जोखिम है जिसकी वजह से रिमोट कोड प्रोग्राम चलाए जा सकते हैं. इसके लिए, प्रोग्राम चलाने से जुड़ी किसी अन्य अनुमति की ज़रूरत नहीं होती. गंभीरता का आकलन इस आधार पर किया जाता है कि सुरक्षा से जुड़ी इस समस्या का असर, प्रभावित डिवाइस पर किस तरह पड़ेगा. इसमें यह मान लिया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी सुरक्षा कम करने वाली सुविधाओं को बंद कर दिया गया है या उन्हें सफलतापूर्वक बायपास कर दिया गया है.

Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं के बारे में जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं सेक्शन पर जाएं. इससे आपको Android के सुरक्षा प्लैटफ़ॉर्म से जुड़ी सुरक्षा सुविधाओं और Google Play Protect के बारे में जानकारी मिलेगी. ये सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.

Android और Google सेवा से जुड़ी कमियां

यह Android सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सेवाओं की सुरक्षा से जुड़ी सुविधाओं के बारे में खास जानकारी है. इन क्षमताओं की वजह से, Android पर सुरक्षा जोखिम की संभावना कम हो जाती है.

  • Android के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना ज़्यादा मुश्किल हो गया है. हम सभी उपयोगकर्ताओं को सलाह देते हैं कि वे Android के नए वर्शन पर अपडेट करें.
  • Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाएं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह उन लोगों के लिए खास तौर पर ज़रूरी है जो Google Play के अलावा किसी और सोर्स से ऐप्लिकेशन इंस्टॉल करते हैं.

2024-10-01 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंकाओं की जानकारी

यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी समस्याओं के बारे में जानकारी दी गई है जो 2024-10-01 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.

Framework

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की आशंका की वजह से, बिना किसी अतिरिक्त प्रोग्राम चलाने के खास अधिकारों के, स्थानीय स्तर पर विशेषाधिकारों को बढ़ाया जा सकता है.

CVE संदर्भ प्रकार गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-0044 A-307532206 [2] ईओपी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-40676 A-349780950 ईओपी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-40675 A-318683126 DoS ज़्यादा 12, 12L, 13, 14

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की आशंका की वजह से, रिमोट कोड एक्ज़ीक्यूशन चलाया जा सकता है. इसके लिए, प्रोग्राम चलाने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE संदर्भ प्रकार गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-40673 A-309938635 आरसीई ज़्यादा 12, 12L, 13, 14
CVE-2024-40672 A-327645387 ईओपी ज़्यादा 12, 12L, 13, 14
CVE-2024-40677 A-327748846 ईओपी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-40674 A-343714914 DoS ज़्यादा 14

Google Play के सिस्टम अपडेट

प्रोजेक्ट मेनलाइन के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

सबकॉम्पोनेंट CVE
Android रनटाइम CVE-2024-40673
वाई-फ़ाई CVE-2024-40674

5 अक्टूबर, 2024 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंका की जानकारी

यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी जोखिम की आशंकाओं के बारे में जानकारी दी गई है जो 2024-10-05 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

इमैजिनेशन टेक्नोलॉजीज़

इन कमियों का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे तौर पर Imagination Technologies से मिल सकती है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Imagination Technologies करती है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-34732 A-340332428 * ज़्यादा PowerVR-GPU
CVE-2024-34733
A-340329532 * ज़्यादा PowerVR-GPU
CVE-2024-34748
A-346640884 * ज़्यादा PowerVR-GPU
CVE-2024-40649
A-346635977 * ज़्यादा PowerVR-GPU
CVE-2024-40651
A-346633576 * ज़्यादा PowerVR-GPU
CVE-2024-40669
A-354268756 * ज़्यादा PowerVR-GPU
CVE-2024-40670
A-354263469 * ज़्यादा PowerVR-GPU

MediaTek कॉम्पोनेंट

इन कमज़ोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे MediaTek से मिल सकती है. इन समस्याओं का गंभीर आकलन सीधे तौर पर MediaTek से मिलता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-20100
A-359699097
M-ALPS08998449 *
ज़्यादा wlan
CVE-2024-20101
A-359699100
M-ALPS08998901 *
ज़्यादा wlan
CVE-2024-20103
A-359692770
M-ALPS09001358 *
ज़्यादा wlan
CVE-2024-20090
A-359692902
M-ALPS09028313 *
ज़्यादा vdec
CVE-2024-20092
A-359699094
M-ALPS09028313 *
ज़्यादा vdec
CVE-2024-20091
A-359699091
M-ALPS09028313 *
ज़्यादा vdec
CVE-2024-20093
A-359699096
M-ALPS09028313 *
ज़्यादा vdec
CVE-2024-20094
A-359692772
M-MOLY00843282 *
ज़्यादा मोडेम

Qualcomm कॉम्पोनेंट

इन जोखिम की आशंकाओं का असर Qualcomm कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के बारे में Qualcomm सीधे तौर पर बताता है कि ये कितनी गंभीर हैं.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-33049
A-344620633
QC-CR#3717569
ज़्यादा WLAN
CVE-2024-33069
A-350500907
QC-CR#3772014
ज़्यादा WLAN
CVE-2024-38399
A-350500647
QC-CR#3762629 [2]
ज़्यादा डिसप्ले

Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट

इस जोखिम का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी सूचना में दी गई है. इस समस्या की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-23369
A-332315343 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और जवाब

इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद आम तौर पर पूछे जाने वाले सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि इन समस्याओं को ठीक करने के लिए मेरे डिवाइस को अपडेट किया गया है?

किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

  • 1 अक्टूबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
  • 5 अक्टूबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख और इससे पहले के सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.

डिवाइस बनाने वाली कंपनियों को, इन अपडेट को शामिल करने के लिए पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2024-10-01]
  • [ro.build.version.security_patch]:[2024-10-05]

Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख का ऐसा स्ट्रिंग होगा जो 1 अक्टूबर, 2024 के सुरक्षा पैच लेवल से मेल खाता हो. सुरक्षा अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस बुलेटिन में सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?

इस बुलेटिन में दो सुरक्षा पैच लेवल दिए गए हैं, ताकि Android पार्टनर, सुरक्षा से जुड़ी उन जोखिम की आशंकाओं को ठीक कर सकें जो सभी Android डिवाइसों में एक जैसी हैं. Android पार्टनर को इस बुलेटिन में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच लेवल के नए वर्शन का इस्तेमाल करने का सुझाव दिया जाता है.

  • 1 अक्टूबर, 2024 के सुरक्षा पैच लेवल का इस्तेमाल करने वाले डिवाइसों में, उस सुरक्षा पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं के समाधान भी शामिल होने चाहिए.
  • जिन डिवाइसों में 5 अक्टूबर, 2024 या इसके बाद का सुरक्षा पैच लेवल इस्तेमाल किया जाता है उनमें इस और पिछले सुरक्षा बुलेटिन में बताए गए सभी ज़रूरी पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करें जिन पर वे काम कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी देने वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की आशंकाओं की कैटगरी का रेफ़रंस देती है.

छोटा रूप परिभाषा
आरसीई रिमोट कोड एक्ज़ीक्यूशन
ईओपी एलिवेशन ऑफ़ प्रिविलेज
आईडी जानकारी ज़ाहिर करना
DoS सेवा में रुकावट
लागू नहीं क्लासिफ़िकेशन उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी देने वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, ऐसा प्रीफ़िक्स हो सकता है जिससे यह पता चलता हो कि रेफ़रंस वैल्यू किस संगठन से जुड़ी है.

प्रीफ़िक्स रेफ़रंस
A- Android में गड़बड़ी का आईडी
QC- Qualcomm का रेफ़रंस नंबर
M- MediaTek का रेफ़रंस नंबर
N- NVIDIA का रेफ़रंस नंबर
B- Broadcom का रेफ़रंस नंबर
U- UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

जिन समस्याओं के बारे में सार्वजनिक तौर पर जानकारी उपलब्ध नहीं है उनके रेफ़रंस आईडी के बगल में * का निशान होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए उपलब्ध कराए गए नए बाइनरी ड्राइवर में शामिल होता है. ये ड्राइवर, Google Developer साइट पर उपलब्ध होते हैं.

6. सुरक्षा से जुड़े जोखिम की आशंकाओं को इस बुलेटिन और डिवाइस पार्टनर के सुरक्षा बुलेटिन के बीच क्यों बांटा गया है? जैसे, Pixel का बुलेटिन?

इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी जोखिम की आशंकाओं के लिए, Android डिवाइसों पर नया सुरक्षा पैच का लेवल दिखाना ज़रूरी है. हालांकि, सुरक्षा पैच का लेवल का एलान करने के लिए, सुरक्षा से जुड़े जोखिम की अन्य आशंकाओं के बारे में जानकारी देने की ज़रूरत नहीं है. जैसे कि डिवाइस पार्टनर के सुरक्षा बुलेटिन में बताया गया है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमज़ोरियों की जानकारी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन तारीख नोट
1.0 7 अक्टूबर, 2024 बुलेटिन पब्लिश किया गया.