Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी कमजोरियों की जानकारी होती है. 05-10-2024 या इसके बाद के सिक्योरिटी पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सिक्योरिटी पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और अपडेट करना लेख पढ़ें.
Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के रिपॉज़िटरी में रिलीज़ कर दिए गए हैं. साथ ही, इन्हें इस बुलेटिन से लिंक किया गया है. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इन समस्याओं में से सबसे गंभीर, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़े जोखिम की आशंका ज़्यादा है. इसकी वजह से, रिमोट कोड लागू हो सकता है और इसे चलाने के लिए किसी खास अधिकार की ज़रूरत नहीं होती. गंभीरता का आकलन, इस बात पर आधारित होता है कि किसी डिवाइस में मौजूद कमजोरी का इस्तेमाल करने से, उस डिवाइस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमजोरियों से बचाने के लिए बनी सुविधाएं बंद हैं या नहीं या फिर उन्हें बाईपास किया जा चुका है.
Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुरक्षा उपायों और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी समस्याओं को हल करने के उपाय सेक्शन देखें. इन उपायों से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं के बारे में बताया गया है. जैसे, Google Play Protect. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, गलत इस्तेमाल पर नज़र बनाए रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.
01-10-2024 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंका की जानकारी
नीचे दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-10-2024 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद के नंबर से लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों पर, सुरक्षा अपडेट के साथ-साथ Google Play के सिस्टम अपडेट भी मिल सकते हैं.
फ़्रेमवर्क
इस सेक्शन में सबसे गंभीर जोखिम की वजह से, स्थानीय लोगों को मिलने वाले खास अधिकारों में बढ़ोतरी हो सकती है. इसके लिए, किसी खास अधिकार की ज़रूरत नहीं होगी.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2024-0044 | A-307532206 [2] | ईओपी | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-40676 | A-349780950 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-40675 | A-318683126 | डीओएस | ज़्यादा | 12, 12 ली॰, 13, 14 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट कोड प्रोग्राम चलाया जा सकता है. इसके लिए, कोड चलाने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2024-40673 | A-309938635 | आरसीई | ज़्यादा | 12, 12 ली॰, 13, 14 |
| CVE-2024-40672 | ए-327645387 | EoP | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-40677 | ए-327748846 | ईओपी | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-40674 | A-343714914 | डीओएस | ज़्यादा | 14 |
Google Play के सिस्टम अपडेट
Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल होती हैं.
| सब-कॉम्पोनेंट | CVE |
|---|---|
| Android रनटाइम | CVE-2024-40673 |
| वाई-फ़ाई | CVE-2024-40674 |
05-10-2024 के सुरक्षा पैच के लेवल की कमज़ोरी की जानकारी
नीचे दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-10-2024 के पैच लेवल पर लागू होती हैं. जोखिमों को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनसे असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़ी जानकारी, जोखिम की समस्या का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब किसी एक गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद आने वाले नंबर से लिंक हो जाते हैं.
Imagination Technologies
ये जोखिम की आशंकाएं, Imagination Technologies के कॉम्पोनेंट पर असर डालती हैं. साथ ही, ज़्यादा जानकारी सीधे Imagination Technologies से पाई जा सकती है. इन समस्याओं की गंभीरता का आकलन सीधे Imagination Technologies ने किया है.
| सीवीई | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-34732 | A-340332428 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-34733 |
A-340329532 * | ज़्यादा | PowerVR-GPU |
| सीवीई-2024-34748 |
A-346640884 * | ज़्यादा | पावरवीआर-जीपीयू |
| CVE-2024-40649 |
A-346635977 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-40651 |
A-346633576 * | ज़्यादा | पावरवीआर-जीपीयू |
| CVE-2024-40669 |
A-354268756 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-40670 |
A-354263469 * | ज़्यादा | पावरवीआर-जीपीयू |
MediaTek के कॉम्पोनेंट
इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-20100 |
A-359699097 M-ALPS08998449 * |
ज़्यादा | wlan |
| CVE-2024-20101 |
A-359699100 M-ALPS08998901 * |
ज़्यादा | Wlan |
| CVE-2024-20103 |
A-359692770 M-ALPS09001358 * |
ज़्यादा | wlan |
| CVE-2024-20090 |
A-359692902 M-ALPS09028313 * |
ज़्यादा | vdec |
| CVE-2024-20092 |
A-359699094 M-ALPS09028313 * |
ज़्यादा | vdec |
| CVE-2024-20091 |
A-359699091 M-ALPS09028313 * |
ज़्यादा | vdec |
| CVE-2024-20093 |
A-359699096 M-ALPS09028313 * |
ज़्यादा | वीडीसी |
| सीवीई-2024-20094 |
A-359692772 M-MOLY00843282 * |
ज़्यादा | मॉडम |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा से जुड़े ब्यौरे या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Qualcomm करता है.
| सीवीई | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-33049 |
A-344620633 QC-CR#3717569 |
ज़्यादा | WLAN |
| CVE-2024-33069 |
A-350500907 QC-CR#3772014 |
ज़्यादा | WLAN |
| CVE-2024-38399 |
A-350500647 QC-CR#3762629 [2] |
ज़्यादा | डिसप्ले |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इस समस्या का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इस समस्या की गंभीरता का आकलन सीधे Qualcomm ने दिया है.
| सीवीई | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-23369 |
A-332315343 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मैं कैसे पता करूं कि इन समस्याओं को ठीक करने के लिए, मेरा डिवाइस अपडेट है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-10-2024 या इसके बाद के सुरक्षा पैच लेवल, 01-10-2024 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 05-10-2024 या इसके बाद के सिक्योरिटी पैच लेवल, 05-10-2024 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं और पिछले सभी पैच लेवल का पता लगाते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इस हिसाब से सेट करना चाहिए:
- [ro.build.version.security_patch]:[2024-10-01]
- [ro.build.version.security_patch]:[2024-10-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-10-2024 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानकारी के लिए, कृपया यह लेख देखें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?
इस बुलेटिन में दो सिक्योरिटी पैच लेवल हैं, ताकि Android के पार्टनर, सभी Android डिवाइसों पर मौजूद मिलती-जुलती कमजोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस बुलेटिन में दी गई सभी समस्याएं ठीक करने और सबसे नए सुरक्षा पैच लेवल का इस्तेमाल करने की सलाह दी जाती है.
- जिन डिवाइसों में 01-10-2024 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं को ठीक करने के तरीके भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 05-10-2024 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन पर वे काम कर रहे हैं.
3. टाइप कॉलम में दी गई एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा अस्वीकार की गई |
| लागू नहीं | कैटगरी उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| पु॰- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android की गड़बड़ी के आईडी के बगल में मौजूद * का क्या मतलब है?
जो समस्याएं सार्वजनिक तौर पर उपलब्ध नहीं हैं उनसे जुड़े रेफ़रंस आईडी के बगल में * बना होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के सबसे नए बाइनरी ड्राइवर में शामिल होता है. यह सुविधा Google Developer साइट पर उपलब्ध होती है.
6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को इस सूचना और डिवाइस पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी जोखिमियों के लिए, Android डिवाइसों पर सबसे नए सिक्योरिटी पैच लेवल का एलान करना ज़रूरी है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस पार्टनर के सुरक्षा से जुड़े ब्यौरे में बताई गई, सुरक्षा से जुड़ी अन्य जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 7 अक्टूबर, 2024 | बुलेटिन पब्लिश हो गया. |