Android का सुरक्षा बुलेटिन नवंबर 2024

पब्लिश करने की तारीख: 4 नवंबर, 2024

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़े जोखिम की आशंकाओं के बारे में जानकारी होती है. 5 नवंबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

Android पार्टनर को सभी समस्याओं के बारे में, पब्लिकेशन से कम से कम एक महीने पहले सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ कर दिए गए हैं. साथ ही, इस बुलेटिन में लिंक कर दिए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ा एक बड़ा जोखिम है. इससे रिमोट कोड प्रोग्राम चलाया जा सकता है. इसके लिए, प्रोग्राम चलाने के अतिरिक्त अधिकारों की ज़रूरत नहीं होती. गंभीरता का आकलन इस आधार पर किया जाता है कि सुरक्षा से जुड़ी इस समस्या का फ़ायदा उठाने से, प्रभावित डिवाइस पर क्या असर पड़ सकता है. इसमें यह माना जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी सुरक्षा कम करने वाली सुविधाओं को बंद कर दिया गया है या उन्हें सफलतापूर्वक बायपास कर दिया गया है.

Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़े सुरक्षा उपायों वाला सेक्शन देखें. इससे Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाने में मदद मिलती है.

Android और Google की सेवा से जुड़ी समस्याएं कम करने के तरीके

यहां Google Play Protect जैसी सेवाओं और Android के सुरक्षा प्लैटफ़ॉर्म से मिलने वाली सुरक्षा सुविधाओं की खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमज़ोरियों का फ़ायदा उठाए जाने की आशंका कम हो जाती है.

  • Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हम सभी उपयोगकर्ताओं को सलाह देते हैं कि वे Android के नए वर्शन पर अपडेट करें.
  • Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाएं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह उन लोगों के लिए खास तौर पर ज़रूरी है जो Google Play के अलावा किसी और प्लैटफ़ॉर्म से ऐप्लिकेशन इंस्टॉल करते हैं.

2024-11-01 के सुरक्षा पैच का लेवल कमज़ोरी की जानकारी

यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 2024-11-01 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और एओएसपी के अपडेट किए गए वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.

Framework

इस सेक्शन में मौजूद सबसे गंभीर कमज़ोरी की वजह से, स्थानीय स्तर पर विशेषाधिकारों में बढ़ोतरी हो सकती है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.

CVE संदर्भ प्रकार गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-40660 A-347307756 [2] ईओपी ज़्यादा 14, 15
CVE-2024-43081 A-341256043 ईओपी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43085 A-353712853 ईओपी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43082 A-296915959 आईडी ज़्यादा 12, 12L
CVE-2024-43084 A-281044385 आईडी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43086 A-343440463 आईडी ज़्यादा 12, 12L, 13, 14, 15

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की आशंका की वजह से, रिमोट कोड एक्ज़ीक्यूशन चलाया जा सकता है. इसके लिए, प्रोग्राम चलाने के अतिरिक्त अधिकारों की ज़रूरत नहीं होती.

CVE संदर्भ प्रकार गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-43091 A-344620577 आरसीई ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-29779 A-329701910 ईओपी ज़्यादा 14
CVE-2024-34719 A-242996380 ईओपी ज़्यादा 12, 12L, 13, 14
CVE-2024-40661 A-308138085 ईओपी ज़्यादा 12, 12L, 13, 14
CVE-2024-43080 A-330722900 ईओपी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43087 A-353700779 ईओपी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43088 A-326057017 ईओपी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43089 A-304280682 ईओपी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43090 A-331180422 आईडी ज़्यादा 12, 12L, 13, 14
CVE-2024-43083 A-348352288 DoS ज़्यादा 12, 12L, 13, 14, 15

Google Play के सिस्टम अपडेट

प्रोजेक्ट मेनलाइन के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

सबकॉम्पोनेंट CVE
MediaProvider CVE-2024-43089
परमिशन कंट्रोलर CVE-2024-40661
वाई-फ़ाई CVE-2024-43083

5 नवंबर, 2024 के सुरक्षा पैच लेवल से जुड़ी जोखिम की आशंका की जानकारी

यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 2024-11-05 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और एओएसपी के अपडेट किए गए वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

कर्नेल

इस सेक्शन में मौजूद सबसे गंभीर कमज़ोरी की वजह से, स्थानीय स्तर पर विशेषाधिकारों में बढ़ोतरी हो सकती है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.

CVE संदर्भ प्रकार गंभीरता सबकॉम्पोनेंट
CVE-2024-36978 A-349777785
अपस्ट्रीम कर्नेल [2]
ईओपी ज़्यादा वॉलीबॉल का नेट
CVE-2024-46740 A-352520660
अपस्ट्रीम कर्नल [2] [3] [4] [5] [6] [7] [8]
ईओपी ज़्यादा बाइंडर

Kernel LTS

कर्नेल के इन वर्शन को अपडेट किया गया है. कर्नेल वर्शन के अपडेट, डिवाइस लॉन्च के समय Android OS के वर्शन पर निर्भर करते हैं.

संदर्भ Android का लॉन्च वर्शन कर्नेल का लॉन्च वर्शन अपडेट का कम से कम वर्शन
A-348473863 12 5.4 5.4.274
A-348681334 12 4.19 4.19.312

इमैजिनेशन टेक्नोलॉजीज़

इन कमज़ोरियों का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इस बारे में ज़्यादा जानकारी, सीधे तौर पर Imagination Technologies से मिल सकती है. इन समस्याओं का गंभीरता आकलन Imagination Technologies सीधे तौर पर प्रदान करती है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-34747
A-346643520 * ज़्यादा PowerVR-GPU
CVE-2024-40671
A-355477536 * ज़्यादा PowerVR-GPU

इमैजिनेशन टेक्नोलॉजीज़

इन कमज़ोरियों का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इस बारे में ज़्यादा जानकारी, सीधे तौर पर Imagination Technologies से मिल सकती है. इन समस्याओं का गंभीरता आकलन Imagination Technologies सीधे तौर पर प्रदान करती है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2023-35659
A-350006107 * ज़्यादा PowerVR-GPU
CVE-2023-35686
A-350527097 * ज़्यादा PowerVR-GPU
CVE-2024-23715
A-350530745 * ज़्यादा PowerVR-GPU
CVE-2024-31337
A-337944529 * ज़्यादा PowerVR-GPU
CVE-2024-34729
A-331437862 * ज़्यादा PowerVR-GPU

MediaTek कॉम्पोनेंट

इन कमज़ोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे MediaTek से मिल सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर MediaTek करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-20104
A-363850556
M-ALPS09073261 *
ज़्यादा DA
CVE-2024-20106
A-363849996
M-ALPS08960505 *
ज़्यादा m4u

Qualcomm कॉम्पोनेंट

इन जोखिम की आशंकाओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Qualcomm करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-21455
A-357616450
QC-CR#3839449 [2]
QC-CR#3875202 [2]
ज़्यादा कर्नेल
CVE-2024-38402
A-364017423
QC-CR#3890158
ज़्यादा कर्नेल
CVE-2024-38405
A-357615761
QC-CR#3754687
ज़्यादा WLAN
CVE-2024-38415
A-357616194
QC-CR#3775520 [2]
ज़्यादा कैमरा
CVE-2024-38421
A-357616018
QC-CR#3793941
ज़्यादा डिसप्ले
CVE-2024-38422
A-357616000
QC-CR#3794268 [2] [3]
ज़्यादा ऑडियो
CVE-2024-38423
A-357615775
QC-CR#3799033
ज़्यादा डिसप्ले
CVE-2024-43047
A-364017103
QC-CR#3883647
ज़्यादा कर्नेल

Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट

इन जोखिमों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-38408
A-357615875 * गंभीर क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-23385
A-339043003 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-38403
A-357615948 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-38424
A-357616230 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद आम तौर पर पूछे जाने वाले सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि इन समस्याओं को ठीक करने के लिए मेरे डिवाइस को अपडेट किया गया है?

किसी डिवाइस के सुरक्षा पैच का लेवल जांचने का तरीका जानने के लिए, अपने डिवाइस का Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

  • 1 नवंबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
  • 5 नवंबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इस तारीख और इससे पहले के सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.

डिवाइस बनाने वाली कंपनियों को, इन अपडेट को शामिल करने के लिए पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2024-11-01]
  • [ro.build.version.security_patch]:[2024-11-05]

Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play सिस्टम अपडेट में तारीख की ऐसी स्ट्रिंग होगी जो 1 नवंबर, 2024 के सुरक्षा पैच लेवल से मेल खाती हो. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस बुलेटिन में सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?

इस बुलेटिन में सुरक्षा पैच के दो लेवल दिए गए हैं, ताकि Android पार्टनर को उन जोखिम की आशंकाओं को ठीक करने में आसानी हो जो सभी Android डिवाइसों में एक जैसी हैं. Android पार्टनर को इस बुलेटिन में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

  • 1 नवंबर, 2024 के सुरक्षा पैच लेवल का इस्तेमाल करने वाले डिवाइसों में, उस सुरक्षा पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं के समाधान भी शामिल होने चाहिए.
  • 5 नवंबर, 2024 या इसके बाद के सुरक्षा पैच का लेवल इस्तेमाल करने वाले डिवाइसों में, इस और पिछले सुरक्षा बुलेटिन में बताए गए सभी ज़रूरी पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करें जिन पर वे काम कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी देने वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की आशंकाओं की कैटगरी का रेफ़रंस देती है.

छोटा रूप परिभाषा
आरसीई रिमोट कोड एक्ज़ीक्यूशन
ईओपी एलिवेशन ऑफ़ प्रिविलेज
आईडी जानकारी ज़ाहिर करना
DoS सेवा में रुकावट
लागू नहीं क्लासिफ़िकेशन उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, ऐसा प्रीफ़िक्स हो सकता है जिससे यह पता चलता हो कि रेफ़रंस वैल्यू किस संगठन से जुड़ी है.

प्रीफ़िक्स रेफ़रंस
A- Android में गड़बड़ी का आईडी
QC- Qualcomm का रेफ़रंस नंबर
M- MediaTek का रेफ़रंस नंबर
N- NVIDIA का रेफ़रंस नंबर
B- Broadcom का रेफ़रंस नंबर
U- UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

जिन समस्याओं की जानकारी सार्वजनिक तौर पर उपलब्ध नहीं है उनके रेफ़रंस आईडी के बगल में * का निशान होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए उपलब्ध नए बाइनरी ड्राइवर में शामिल होता है. ये ड्राइवर, Google की डेवलपर साइट पर उपलब्ध होते हैं.

6. सुरक्षा से जुड़े जोखिम की आशंकाओं को इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन के बीच क्यों बांटा गया है? जैसे, Pixel का बुलेटिन?

इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी जोखिम की आशंकाओं के लिए, Android डिवाइसों पर नया 'सुरक्षा पैच का लेवल' दिखाना ज़रूरी है. सुरक्षा पैच का लेवल एलान करने के लिए, सुरक्षा से जुड़े जोखिम की अन्य आशंकाओं के बारे में जानकारी देने की ज़रूरत नहीं है. जैसे कि डिवाइस / पार्टनर के सुरक्षा बुलेटिन में बताया गया है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी, अपने प्रॉडक्ट से जुड़ी सुरक्षा की कमज़ोरियों की जानकारी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन तारीख नोट
1.0 4 नवंबर, 2024 बुलेटिन पब्लिश किया गया.