Android सुरक्षा बुलेटिन, दिसंबर 2024

2 दिसंबर, 2024 को पब्लिश किया गया

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़े जोखिम की आशंकाओं के बारे में जानकारी दी गई है. 5 दिसंबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.

पब्लिश करने से कम से कम एक महीने पहले, Android के पार्टनर को सभी समस्याओं के बारे में सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android ओपन सोर्स प्रोजेक्ट (एओएसपी) की रिपॉज़िटरी में रिलीज़ कर दिए गए हैं. साथ ही, इस बुलेटिन में इनसे जुड़े लिंक दिए गए हैं. इस बुलेटिन में, एओएसपी के बाहर के पैच के लिंक भी शामिल हैं.

इन समस्याओं में सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ा एक बड़ा जोखिम है. इसकी वजह से, रिमोट कोड एक्ज़ीक्यूशन हो सकता है. इसके लिए, एक्ज़ीक्यूशन की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. गंभीरता का आकलन, इस बात पर आधारित होता है कि जोखिम की आशंका का फ़ायदा उठाने से, प्रभावित डिवाइस पर क्या असर पड़ सकता है. यह आकलन, डेवलपमेंट के मकसद से प्लैटफ़ॉर्म और सेवा से जुड़े मिटिगेशन बंद होने या उन्हें सफलतापूर्वक बाईपास किए जाने की स्थिति को मानकर किया जाता है.

Android के सुरक्षा प्लैटफ़ॉर्म की सुरक्षा और Google Play Protect के बारे में जानकारी पाने के लिए, Android और Google Play Protect के मिटिगेशन वाला सेक्शन देखें. इन दोनों की मदद से, Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.

Android और Google की सेवाओं के मिटिगेशन

यह Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़े मिटिगेशन की खास जानकारी है. इसमें Google Play Protect जैसी सेवाओं के बारे में भी बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़े जोखिम की आशंकाओं का फ़ायदा उठाए जाने की संभावना कम हो जाती है.

1 दिसंबर, 2024 के सुरक्षा पैच लेवल से जुड़े जोखिम की आशंकाओं की जानकारी

यहां दिए गए सेक्शन में, सुरक्षा से जुड़े उन सभी जोखिम की आशंकाओं के बारे में जानकारी दी गई है जो 1 दिसंबर, 2024 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और एओएसपी के अपडेट किए गए वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को, सुरक्षा से जुड़े अपडेट के साथ-साथ Google Play के सिस्टम अपडेट भी मिल सकते हैं.

Framework

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की आशंका की वजह से, स्थानीय तौर पर एलिवेशन ऑफ़ प्रिविलेज हो सकता है. इसके लिए, एक्ज़ीक्यूशन की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.
CVE संदर्भ प्रकार गंभीरता एओएसपी के अपडेट किए गए वर्शन
CVE-2024-43762 A-340239088 ईओपी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43764 A-317048495 ईओपी ज़्यादा 13, 14
CVE-2024-43769 A-360807442 ईओपी ज़्यादा 13, 14, 15

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की आशंका की वजह से, रिमोट कोड एक्ज़ीक्यूशन हो सकता है. इसके लिए, एक्ज़ीक्यूशन की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.
CVE संदर्भ प्रकार गंभीरता एओएसपी के अपडेट किए गए वर्शन
CVE-2024-43767 A-352631932 आरसीई ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43097 A-350118416 ईओपी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43768 A-349678452 ईओपी ज़्यादा 12, 12L, 13, 14, 15

Google Play के सिस्टम अपडेट

इस महीने, Google Play के सिस्टम अपडेट (प्रोजेक्ट मेनलाइन) में सुरक्षा से जुड़ी कोई समस्या ठीक नहीं की गई है.

5 दिसंबर, 2024 के सुरक्षा पैच लेवल से जुड़े जोखिम की आशंकाओं की जानकारी

यहां दिए गए सेक्शन में, सुरक्षा से जुड़े उन सभी जोखिम की आशंकाओं के बारे में जानकारी दी गई है जो 5 दिसंबर, 2024 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और एओएसपी के अपडेट किए गए वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

Imagination Technologies

इन जोखिम की आशंकाओं का असर, Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Imagination Technologies से सीधे तौर पर मिल सकती है. इन समस्याओं की गंभीरता का आकलन Imagination Technologies सीधे तौर पर करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-43077
A-357079333 * ज़्यादा PowerVR-GPU
CVE-2024-43701
A-363029346 * ज़्यादा PowerVR-GPU

MediaTek के कॉम्पोनेंट

इस जोखिम की आशंका का असर, MediaTek के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, MediaTek से सीधे तौर पर मिल सकती है. इस समस्या की गंभीरता का आकलन, MediaTek सीधे तौर पर करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-20125
A-371710871
M-ALPS09046782 *
ज़्यादा vdec

Qualcomm के कॉम्पोनेंट

इस जोखिम की आशंका का असर, Qualcomm के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इस समस्या की गंभीरता का आकलन, Qualcomm सीधे तौर पर करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-33063
A-364017561
QC-CR#3749192
ज़्यादा WLAN

Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट

इन जोखिम की आशंकाओं का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है . इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है . इन समस्याओं की गंभीरता का आकलन, Qualcomm सीधे तौर पर करता है.

CVE संदर्भ गंभीरता सबकॉम्पोनेंट
CVE-2024-33044
A-344620789 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-33056
A-344619640 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-43048
A-364017161 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-43052
A-364017831 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और जवाब

इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद आम तौर पर पूछे जाने वाले सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि इन समस्याओं को ठीक करने के लिए मेरे डिवाइस को अपडेट किया गया है?

किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.

  • 1 दिसंबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में, 1 दिसंबर, 2024 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
  • 5 दिसंबर, 2024 या इसके बाद के सुरक्षा पैच का लेवल, इस तारीख और इससे पहले के सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करता है.

इन अपडेट को शामिल करने वाले डिवाइस बनाने वाली कंपनियों को, पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2024-12-01]
  • [ro.build.version.security_patch]:[2024-12-05]

Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की स्ट्रिंग होगी. यह स्ट्रिंग, 1 दिसंबर, 2024 के सुरक्षा पैच का लेवल से मेल खाती है. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानकारी पाने के लिए, कृपया यह लेख पढ़ें.

2. इस बुलेटिन में सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?

इस बुलेटिन में सुरक्षा पैच के दो लेवल इसलिए दिए गए हैं, ताकि Android के पार्टनर को उन जोखिम की आशंकाओं के सबसेट को ज़्यादा तेज़ी से ठीक करने की सुविधा मिल सके जो सभी Android डिवाइसों में एक जैसी हैं. Android के पार्टनर को इस बुलेटिन में मौजूद सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने के लिए बढ़ावा दिया जाता है.

  • जिन डिवाइसों में 1 दिसंबर, 2024 के सुरक्षा पैच लेवल का इस्तेमाल किया जाता है उनमें सुरक्षा पैच के उस लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, सुरक्षा से जुड़े पिछले बुलेटिन में बताई गई सभी समस्याओं को ठीक करने के तरीके भी शामिल होने चाहिए.
  • जिन डिवाइसों में 5 दिसंबर, 2024 या इसके बाद के सुरक्षा पैच लेवल का इस्तेमाल किया जाता है उनमें, सुरक्षा से जुड़े इस (और पिछले) बुलेटिन में मौजूद सभी लागू पैच शामिल होने चाहिए.

पार्टनर को उन सभी समस्याओं को ठीक करने के तरीके एक ही अपडेट में शामिल करने के लिए बढ़ावा दिया जाता है जिन्हें वे ठीक कर रहे हैं.

3. _टाइप_ कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी देने वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की आशंकाओं की कैटगरी का रेफ़रंस देती है.

छोटा रूप परिभाषा
आरसीई रिमोट कोड एक्ज़ीक्यूशन
ईओपी एलिवेशन ऑफ़ प्रिविलेज
आईडी जानकारी ज़ाहिर करना
DoS सेवा में रुकावट
लागू नहीं कैटगरी उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, ऐसा प्रीफ़िक्स हो सकता है जिससे यह पता चलता हो कि रेफ़रंस वैल्यू किस संगठन से जुड़ी है.

प्रीफ़िक्स रेफ़रंस
A- Android का बग आईडी
QC- Qualcomm का रेफ़रंस नंबर
M- MediaTek का रेफ़रंस नंबर
N- NVIDIA का रेफ़रंस नंबर
B- Broadcom का रेफ़रंस नंबर
U- UNISOC का रेफ़रंस नंबर

5. _रेफ़रंस_ कॉलम में, Android के बग आईडी के बगल में मौजूद * का क्या मतलब है?

जिन समस्याओं के बारे में सार्वजनिक तौर पर जानकारी उपलब्ध नहीं होती उनके रेफ़रंस आईडी के बगल में * होता है. आम तौर पर, उस समस्या के लिए अपडेट, Google Developers साइट पर उपलब्ध Pixel डिवाइसों के लिए नए बाइनरी ड्राइवर में शामिल होता है.

6. सुरक्षा से जुड़े जोखिम की आशंकाओं को इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन (जैसे, Pixel का बुलेटिन) के बीच क्यों बांटा गया है?

सुरक्षा से जुड़े इस बुलेटिन में बताई गई सुरक्षा से जुड़े जोखिम की आशंकाओं के लिए, Android डिवाइसों पर नया 'सुरक्षा पैच का लेवल' दिखाना ज़रूरी है. सुरक्षा पैच का लेवल एलान करने के लिए, सुरक्षा से जुड़े अन्य जोखिम की आशंकाओं के बारे में जानकारी देने की ज़रूरत नहीं है. जैसे कि डिवाइस / पार्टनर के सुरक्षा बुलेटिन में बताया गया है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी अपने प्रॉडक्ट के लिए, सुरक्षा से जुड़े जोखिम की आशंकाओं के बारे में जानकारी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन तारीख नोट
1.0 2 दिसंबर, 2024 बुलेटिन पब्लिश किया गया