Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़े जोखिम की आशंकाओं के बारे में जानकारी है. इन सभी समस्याओं को 5 अक्टूबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं के बारे में सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ कर दिए गए हैं. साथ ही, इस बुलेटिन में लिंक कर दिए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इन समस्याओं में सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ा एक ऐसा जोखिम है जिसकी वजह से रिमोट कोड प्रोग्राम चलाए जा सकते हैं. इसके लिए, प्रोग्राम चलाने से जुड़ी किसी अन्य अनुमति की ज़रूरत नहीं होती. गंभीरता का आकलन इस आधार पर किया जाता है कि सुरक्षा से जुड़ी इस समस्या का असर, प्रभावित डिवाइस पर किस तरह पड़ेगा. इसमें यह मान लिया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी सुरक्षा कम करने वाली सुविधाओं को बंद कर दिया गया है या उन्हें सफलतापूर्वक बायपास कर दिया गया है.
Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं के बारे में जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं सेक्शन पर जाएं. इससे आपको Android के सुरक्षा प्लैटफ़ॉर्म से जुड़ी सुरक्षा सुविधाओं और Google Play Protect के बारे में जानकारी मिलेगी. ये सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.
Android और Google सेवा से जुड़ी कमियां
यह Android सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सेवाओं की सुरक्षा से जुड़ी सुविधाओं के बारे में खास जानकारी है. इन क्षमताओं की वजह से, Android पर सुरक्षा जोखिम की संभावना कम हो जाती है.
- Android के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना ज़्यादा मुश्किल हो गया है. हम सभी उपयोगकर्ताओं को सलाह देते हैं कि वे Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाएं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह उन लोगों के लिए खास तौर पर ज़रूरी है जो Google Play के अलावा किसी और सोर्स से ऐप्लिकेशन इंस्टॉल करते हैं.
2024-10-01 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंकाओं की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी समस्याओं के बारे में जानकारी दी गई है जो 2024-10-01 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
Framework
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की आशंका की वजह से, बिना किसी अतिरिक्त प्रोग्राम चलाने के खास अधिकारों के, स्थानीय स्तर पर विशेषाधिकारों को बढ़ाया जा सकता है.
| CVE | संदर्भ | प्रकार | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2024-0044 | A-307532206 [2] | ईओपी | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-40676 | A-349780950 | ईओपी | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-40675 | A-318683126 | DoS | ज़्यादा | 12, 12L, 13, 14 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की आशंका की वजह से, रिमोट कोड एक्ज़ीक्यूशन चलाया जा सकता है. इसके लिए, प्रोग्राम चलाने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.
| CVE | संदर्भ | प्रकार | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2024-40673 | A-309938635 | आरसीई | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-40672 | A-327645387 | ईओपी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-40677 | A-327748846 | ईओपी | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-40674 | A-343714914 | DoS | ज़्यादा | 14 |
Google Play के सिस्टम अपडेट
प्रोजेक्ट मेनलाइन के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| सबकॉम्पोनेंट | CVE |
|---|---|
| Android रनटाइम | CVE-2024-40673 |
| वाई-फ़ाई | CVE-2024-40674 |
5 अक्टूबर, 2024 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंका की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी जोखिम की आशंकाओं के बारे में जानकारी दी गई है जो 2024-10-05 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और अपडेट किए गए एओएसपी वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
इमैजिनेशन टेक्नोलॉजीज़
इन कमियों का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे तौर पर Imagination Technologies से मिल सकती है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Imagination Technologies करती है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-34732 | A-340332428 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-34733 |
A-340329532 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-34748 |
A-346640884 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-40649 |
A-346635977 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-40651 |
A-346633576 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-40669 |
A-354268756 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-40670 |
A-354263469 * | ज़्यादा | PowerVR-GPU |
MediaTek कॉम्पोनेंट
इन कमज़ोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे MediaTek से मिल सकती है. इन समस्याओं का गंभीर आकलन सीधे तौर पर MediaTek से मिलता है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-20100 |
A-359699097 M-ALPS08998449 * |
ज़्यादा | wlan |
| CVE-2024-20101 |
A-359699100 M-ALPS08998901 * |
ज़्यादा | wlan |
| CVE-2024-20103 |
A-359692770 M-ALPS09001358 * |
ज़्यादा | wlan |
| CVE-2024-20090 |
A-359692902 M-ALPS09028313 * |
ज़्यादा | vdec |
| CVE-2024-20092 |
A-359699094 M-ALPS09028313 * |
ज़्यादा | vdec |
| CVE-2024-20091 |
A-359699091 M-ALPS09028313 * |
ज़्यादा | vdec |
| CVE-2024-20093 |
A-359699096 M-ALPS09028313 * |
ज़्यादा | vdec |
| CVE-2024-20094 |
A-359692772 M-MOLY00843282 * |
ज़्यादा | मोडेम |
Qualcomm कॉम्पोनेंट
इन जोखिम की आशंकाओं का असर Qualcomm कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के बारे में Qualcomm सीधे तौर पर बताता है कि ये कितनी गंभीर हैं.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-33049 |
A-344620633 QC-CR#3717569 |
ज़्यादा | WLAN |
| CVE-2024-33069 |
A-350500907 QC-CR#3772014 |
ज़्यादा | WLAN |
| CVE-2024-38399 |
A-350500647 QC-CR#3762629 [2] |
ज़्यादा | डिसप्ले |
Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट
इस जोखिम का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी सूचना में दी गई है. इस समस्या की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-23369 |
A-332315343 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और जवाब
इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद आम तौर पर पूछे जाने वाले सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि इन समस्याओं को ठीक करने के लिए मेरे डिवाइस को अपडेट किया गया है?
किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 1 अक्टूबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
- 5 अक्टूबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख और इससे पहले के सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
डिवाइस बनाने वाली कंपनियों को, इन अपडेट को शामिल करने के लिए पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2024-10-01]
- [ro.build.version.security_patch]:[2024-10-05]
Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख का ऐसा स्ट्रिंग होगा जो 1 अक्टूबर, 2024 के सुरक्षा पैच लेवल से मेल खाता हो. सुरक्षा अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस बुलेटिन में सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?
इस बुलेटिन में दो सुरक्षा पैच लेवल दिए गए हैं, ताकि Android पार्टनर, सुरक्षा से जुड़ी उन जोखिम की आशंकाओं को ठीक कर सकें जो सभी Android डिवाइसों में एक जैसी हैं. Android पार्टनर को इस बुलेटिन में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच लेवल के नए वर्शन का इस्तेमाल करने का सुझाव दिया जाता है.
- 1 अक्टूबर, 2024 के सुरक्षा पैच लेवल का इस्तेमाल करने वाले डिवाइसों में, उस सुरक्षा पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं के समाधान भी शामिल होने चाहिए.
- जिन डिवाइसों में 5 अक्टूबर, 2024 या इसके बाद का सुरक्षा पैच लेवल इस्तेमाल किया जाता है उनमें इस और पिछले सुरक्षा बुलेटिन में बताए गए सभी ज़रूरी पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करें जिन पर वे काम कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की आशंका की जानकारी देने वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की आशंकाओं की कैटगरी का रेफ़रंस देती है.
| छोटा रूप | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड एक्ज़ीक्यूशन |
| ईओपी | एलिवेशन ऑफ़ प्रिविलेज |
| आईडी | जानकारी ज़ाहिर करना |
| DoS | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की आशंका की जानकारी देने वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, ऐसा प्रीफ़िक्स हो सकता है जिससे यह पता चलता हो कि रेफ़रंस वैल्यू किस संगठन से जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android में गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
जिन समस्याओं के बारे में सार्वजनिक तौर पर जानकारी उपलब्ध नहीं है उनके रेफ़रंस आईडी के बगल में * का निशान होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए उपलब्ध कराए गए नए बाइनरी ड्राइवर में शामिल होता है. ये ड्राइवर, Google Developer साइट पर उपलब्ध होते हैं.
6. सुरक्षा से जुड़े जोखिम की आशंकाओं को इस बुलेटिन और डिवाइस पार्टनर के सुरक्षा बुलेटिन के बीच क्यों बांटा गया है? जैसे, Pixel का बुलेटिन?
इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी जोखिम की आशंकाओं के लिए, Android डिवाइसों पर नया सुरक्षा पैच का लेवल दिखाना ज़रूरी है. हालांकि, सुरक्षा पैच का लेवल का एलान करने के लिए, सुरक्षा से जुड़े जोखिम की अन्य आशंकाओं के बारे में जानकारी देने की ज़रूरत नहीं है. जैसे कि डिवाइस पार्टनर के सुरक्षा बुलेटिन में बताया गया है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमज़ोरियों की जानकारी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 7 अक्टूबर, 2024 | बुलेटिन पब्लिश किया गया. |