Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़े जोखिम की आशंकाओं के बारे में जानकारी दी गई है. 5 दिसंबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.
पब्लिश करने से कम से कम एक महीने पहले, Android के पार्टनर को सभी समस्याओं के बारे में सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android ओपन सोर्स प्रोजेक्ट (एओएसपी) की रिपॉज़िटरी में रिलीज़ कर दिए गए हैं. साथ ही, इस बुलेटिन में इनसे जुड़े लिंक दिए गए हैं. इस बुलेटिन में, एओएसपी के बाहर के पैच के लिंक भी शामिल हैं.
इन समस्याओं में सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ा एक बड़ा जोखिम है. इसकी वजह से, रिमोट कोड एक्ज़ीक्यूशन हो सकता है. इसके लिए, एक्ज़ीक्यूशन की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. गंभीरता का आकलन, इस बात पर आधारित होता है कि जोखिम की आशंका का फ़ायदा उठाने से, प्रभावित डिवाइस पर क्या असर पड़ सकता है. यह आकलन, डेवलपमेंट के मकसद से प्लैटफ़ॉर्म और सेवा से जुड़े मिटिगेशन बंद होने या उन्हें सफलतापूर्वक बाईपास किए जाने की स्थिति को मानकर किया जाता है.
Android के सुरक्षा प्लैटफ़ॉर्म की सुरक्षा और Google Play Protect के बारे में जानकारी पाने के लिए, Android और Google Play Protect के मिटिगेशन वाला सेक्शन देखें. इन दोनों की मदद से, Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं के मिटिगेशन
यह Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़े मिटिगेशन की खास जानकारी है. इसमें Google Play Protect जैसी सेवाओं के बारे में भी बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़े जोखिम की आशंकाओं का फ़ायदा उठाए जाने की संभावना कम हो जाती है.
- Android के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google Play Protect, Google मोबाइल सेवाओं वाले डिवाइसों पर डिफ़ॉल्ट रूप से चालू होता है. यह उन उपयोगकर्ताओं के लिए खास तौर पर ज़रूरी है जो Google Play के बाहर से ऐप्लिकेशन इंस्टॉल करते हैं.
1 दिसंबर, 2024 के सुरक्षा पैच लेवल से जुड़े जोखिम की आशंकाओं की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़े उन सभी जोखिम की आशंकाओं के बारे में जानकारी दी गई है जो 1 दिसंबर, 2024 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और एओएसपी के अपडेट किए गए वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को, सुरक्षा से जुड़े अपडेट के साथ-साथ Google Play के सिस्टम अपडेट भी मिल सकते हैं.
Framework
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की आशंका की वजह से, स्थानीय तौर पर एलिवेशन ऑफ़ प्रिविलेज हो सकता है. इसके लिए, एक्ज़ीक्यूशन की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.| CVE | संदर्भ | प्रकार | गंभीरता | एओएसपी के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2024-43762 | A-340239088 | ईओपी | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43764 | A-317048495 | ईओपी | ज़्यादा | 13, 14 |
| CVE-2024-43769 | A-360807442 | ईओपी | ज़्यादा | 13, 14, 15 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की आशंका की वजह से, रिमोट कोड एक्ज़ीक्यूशन हो सकता है. इसके लिए, एक्ज़ीक्यूशन की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.| CVE | संदर्भ | प्रकार | गंभीरता | एओएसपी के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2024-43767 | A-352631932 | आरसीई | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43097 | A-350118416 | ईओपी | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43768 | A-349678452 | ईओपी | ज़्यादा | 12, 12L, 13, 14, 15 |
Google Play के सिस्टम अपडेट
इस महीने, Google Play के सिस्टम अपडेट (प्रोजेक्ट मेनलाइन) में सुरक्षा से जुड़ी कोई समस्या ठीक नहीं की गई है.
5 दिसंबर, 2024 के सुरक्षा पैच लेवल से जुड़े जोखिम की आशंकाओं की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़े उन सभी जोखिम की आशंकाओं के बारे में जानकारी दी गई है जो 5 दिसंबर, 2024 के पैच लेवल पर लागू होती हैं. जोखिम की आशंकाओं को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की आशंका का टाइप, गंभीरता, और एओएसपी के अपडेट किए गए वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिससे समस्या हल हुई हो. जैसे, एओएसपी की बदलाव सूची. जब किसी एक गड़बड़ी से कई बदलाव जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
Imagination Technologies
इन जोखिम की आशंकाओं का असर, Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Imagination Technologies से सीधे तौर पर मिल सकती है. इन समस्याओं की गंभीरता का आकलन Imagination Technologies सीधे तौर पर करता है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-43077 |
A-357079333 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-43701 |
A-363029346 * | ज़्यादा | PowerVR-GPU |
MediaTek के कॉम्पोनेंट
इस जोखिम की आशंका का असर, MediaTek के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, MediaTek से सीधे तौर पर मिल सकती है. इस समस्या की गंभीरता का आकलन, MediaTek सीधे तौर पर करता है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-20125 |
A-371710871 M-ALPS09046782 * |
ज़्यादा | vdec |
Qualcomm के कॉम्पोनेंट
इस जोखिम की आशंका का असर, Qualcomm के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इस समस्या की गंभीरता का आकलन, Qualcomm सीधे तौर पर करता है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-33063 |
A-364017561 QC-CR#3749192 |
ज़्यादा | WLAN |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन जोखिम की आशंकाओं का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है . इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है . इन समस्याओं की गंभीरता का आकलन, Qualcomm सीधे तौर पर करता है.
| CVE | संदर्भ | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-33044 |
A-344620789 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-33056 |
A-344619640 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-43048 |
A-364017161 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-43052 |
A-364017831 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और जवाब
इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद आम तौर पर पूछे जाने वाले सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि इन समस्याओं को ठीक करने के लिए मेरे डिवाइस को अपडेट किया गया है?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.
- 1 दिसंबर, 2024 या इसके बाद के सुरक्षा पैच लेवल में, 1 दिसंबर, 2024 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
- 5 दिसंबर, 2024 या इसके बाद के सुरक्षा पैच का लेवल, इस तारीख और इससे पहले के सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करता है.
इन अपडेट को शामिल करने वाले डिवाइस बनाने वाली कंपनियों को, पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2024-12-01]
- [ro.build.version.security_patch]:[2024-12-05]
Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की स्ट्रिंग होगी. यह स्ट्रिंग, 1 दिसंबर, 2024 के सुरक्षा पैच का लेवल से मेल खाती है. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानकारी पाने के लिए, कृपया यह लेख पढ़ें.
2. इस बुलेटिन में सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल इसलिए दिए गए हैं, ताकि Android के पार्टनर को उन जोखिम की आशंकाओं के सबसेट को ज़्यादा तेज़ी से ठीक करने की सुविधा मिल सके जो सभी Android डिवाइसों में एक जैसी हैं. Android के पार्टनर को इस बुलेटिन में मौजूद सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने के लिए बढ़ावा दिया जाता है.
- जिन डिवाइसों में 1 दिसंबर, 2024 के सुरक्षा पैच लेवल का इस्तेमाल किया जाता है उनमें सुरक्षा पैच के उस लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, सुरक्षा से जुड़े पिछले बुलेटिन में बताई गई सभी समस्याओं को ठीक करने के तरीके भी शामिल होने चाहिए.
- जिन डिवाइसों में 5 दिसंबर, 2024 या इसके बाद के सुरक्षा पैच लेवल का इस्तेमाल किया जाता है उनमें, सुरक्षा से जुड़े इस (और पिछले) बुलेटिन में मौजूद सभी लागू पैच शामिल होने चाहिए.
पार्टनर को उन सभी समस्याओं को ठीक करने के तरीके एक ही अपडेट में शामिल करने के लिए बढ़ावा दिया जाता है जिन्हें वे ठीक कर रहे हैं.
3. _टाइप_ कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की आशंका की जानकारी देने वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की आशंकाओं की कैटगरी का रेफ़रंस देती है.
| छोटा रूप | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड एक्ज़ीक्यूशन |
| ईओपी | एलिवेशन ऑफ़ प्रिविलेज |
| आईडी | जानकारी ज़ाहिर करना |
| DoS | सेवा में रुकावट |
| लागू नहीं | कैटगरी उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की आशंका की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, ऐसा प्रीफ़िक्स हो सकता है जिससे यह पता चलता हो कि रेफ़रंस वैल्यू किस संगठन से जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android का बग आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. _रेफ़रंस_ कॉलम में, Android के बग आईडी के बगल में मौजूद * का क्या मतलब है?
जिन समस्याओं के बारे में सार्वजनिक तौर पर जानकारी उपलब्ध नहीं होती उनके रेफ़रंस आईडी के बगल में * होता है. आम तौर पर, उस समस्या के लिए अपडेट, Google Developers साइट पर उपलब्ध Pixel डिवाइसों के लिए नए बाइनरी ड्राइवर में शामिल होता है.
6. सुरक्षा से जुड़े जोखिम की आशंकाओं को इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन (जैसे, Pixel का बुलेटिन) के बीच क्यों बांटा गया है?
सुरक्षा से जुड़े इस बुलेटिन में बताई गई सुरक्षा से जुड़े जोखिम की आशंकाओं के लिए, Android डिवाइसों पर नया 'सुरक्षा पैच का लेवल' दिखाना ज़रूरी है. सुरक्षा पैच का लेवल एलान करने के लिए, सुरक्षा से जुड़े अन्य जोखिम की आशंकाओं के बारे में जानकारी देने की ज़रूरत नहीं है. जैसे कि डिवाइस / पार्टनर के सुरक्षा बुलेटिन में बताया गया है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी अपने प्रॉडक्ट के लिए, सुरक्षा से जुड़े जोखिम की आशंकाओं के बारे में जानकारी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 2 दिसंबर, 2024 | बुलेटिन पब्लिश किया गया |