Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी कमजोरियों की जानकारी होती है. सुरक्षा पैच के लेवल 05-01-2025 या उसके बाद के वर्शन में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए जाएंगे. AOSP के लिंक उपलब्ध होने पर, हम इस सूचना में बदलाव करेंगे.
इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में मौजूद सुरक्षा से जुड़ी गंभीर समस्या है. इसकी वजह से, रिमोट (प्रॉक्सिमल/आस-पास) कोड को बिना किसी अतिरिक्त अनुमति के चलाया जा सकता है. गंभीरता का आकलन, इस बात पर आधारित होता है कि किसी डिवाइस में मौजूद कमजोरी का इस्तेमाल करने से, उस डिवाइस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमजोरियों से बचाने के लिए बनी सुविधाएं बंद हैं या नहीं या फिर उन्हें बाईपास किया जा चुका है.
Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा से जुड़ी समस्याओं को हल करने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा बेहतर होती है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सेवा सुरक्षा से जुड़ी सुविधाओं से, इस तरह के हमलों को कम करने के तरीकों के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर लगातार नज़र रखती है. साथ ही, नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.
01-01-2025 के सुरक्षा पैच लेवल की समस्या की जानकारी
नीचे दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस समस्या के बारे में जानकारी देते हैं जो 01-01-2025 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद के नंबर से लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों पर, सुरक्षा अपडेट के साथ-साथ Google Play के सिस्टम अपडेट भी मिल सकते हैं.
फ़्रेमवर्क
इस सेक्शन में सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2024-49724 | A-369351375 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-49732 | A-371975420 | EoP | ज़्यादा | 15 |
| CVE-2024-49735 | A-345881518 | EoP | ज़्यादा | 15 |
| CVE-2024-49737 | A-369103643 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2024-49738 | A-370840874 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-49744 | A-360846772 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-49745 | A-370831157 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2023-40108 | A-227201030 | आईडी | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-49733 | A-365738306 | आईडी | ज़्यादा | 12, 12L, 13, 14, 15 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद कमज़ोरी की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल को बढ़ाया जा सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2023-40132 | A-205837340 | EoP | ज़्यादा | 12, 12L, 13, 14 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट (प्रॉक्सिमल/आस-पास) कोड प्रोग्राम चलाया जा सकता है. इसके लिए, कोड चलाने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2024-43096 | A-323850943 | आरसीई | सबसे अहम | 12, 12L, 13, 14, 15 |
| CVE-2024-43770 | A-364026473 | आरसीई | सबसे अहम | 12, 12L, 13, 14, 15 |
| CVE-2024-43771 | A-364027949 | आरसीई | सबसे अहम | 12, 12L, 13, 14, 15 |
| CVE-2024-49747 | A-364027038 | आरसीई | सबसे अहम | 12, 12L, 13, 14, 15 |
| CVE-2024-49748 | A-364025411 | आरसीई | सबसे अहम | 12, 12L, 13, 14, 15 |
| CVE-2024-49749 | A-355461643 | आरसीई | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-34722 | A-251514170 | EoP | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-34730 | A-308429049 | EoP | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-43095 | A-340480881 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43765 | A-233605527 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-49742 | A-363248394 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-49734 | A-193031925 | आईडी | ज़्यादा | 14, 15 |
| CVE-2024-43763 | A-356886209 | डीओएस | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-49736 | A-316578327 | डीओएस | ज़्यादा | 12, 12L, 13, 14 |
Google Play के सिस्टम अपडेट
Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| सब-कॉम्पोनेंट | CVE |
|---|---|
| Documents का यूज़र इंटरफ़ेस (यूआई) | CVE-2024-43765 |
| अनुमति कंट्रोलर | CVE-2024-43095 |
05-01-2025 के सुरक्षा पैच लेवल की समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी देते हैं जो 05-01-2025 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद के नंबर से लिंक किए जाते हैं.
Imagination Technologies
इस समस्या का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Imagination Technologies से संपर्क करें. इस समस्या की गंभीरता का आकलन, सीधे तौर पर Imagination Technologies करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-43704 |
A-363073314 * | ज़्यादा | PowerVR-GPU |
MediaTek के कॉम्पोनेंट
इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-20154 |
A-376809176 M-MOLY00720348 * |
सबसे अहम | मॉडम |
| CVE-2024-20146 |
A-376814209 M-ALPS09137491 * |
ज़्यादा | wlan |
| CVE-2024-20148 |
A-376814212 M-ALPS09136494 * |
ज़्यादा | wlan |
| CVE-2024-20105 |
A-376821905 M-ALPS09062027 * |
ज़्यादा | m4u |
| CVE-2024-20140 |
A-376816308 M-ALPS09270402 * |
ज़्यादा | power |
| CVE-2024-20143 |
A-376814208 M-ALPS09167056 * |
ज़्यादा | डीए |
| CVE-2024-20144 |
A-376816309 M-ALPS09167056 * |
ज़्यादा | डीए |
| CVE-2024-20145 |
A-376816311 M-ALPS09290940 * |
ज़्यादा | डीए |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा से जुड़े ब्यौरे या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-21464 |
A-350500921 QC-CR#3445828 |
ज़्यादा | कर्नेल |
| CVE-2024-45553 |
A-372003017 QC-CR#3845043 [2] |
ज़्यादा | कर्नेल |
| CVE-2024-45558 |
A-372002616 QC-CR#3852338 |
ज़्यादा | वाई-फ़ाई |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और अपडेट करना लेख पढ़ें.
- 01-01-2025 या उसके बाद के सिक्योरिटी पैच लेवल, 01-01-2025 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 05-01-2025 या उसके बाद के सिक्योरिटी पैच लेवल, 05-01-2025 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2025-01-01]
- [ro.build.version.security_patch]:[2025-01-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-01-2025 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानकारी के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?
इस बुलेटिन में दो सिक्योरिटी पैच लेवल हैं, ताकि Android के पार्टनर, सभी Android डिवाइसों पर मौजूद मिलती-जुलती कमजोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android के पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के सबसे नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-01-2025 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 05-01-2025 या इससे नए सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं के लिए ठीक करने के तरीके को बंडल करें जिनका वे समाधान कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | कैटगरी उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध न होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए उपलब्ध नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को, इस बुलेटिन और डिवाइस/पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel के बुलेटिन के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी जोखिमियों के लिए, Android डिवाइसों पर सबसे नए सिक्योरिटी पैच लेवल का एलान करना ज़रूरी है. सुरक्षा से जुड़ी अतिरिक्त जोखिमों को, डिवाइस या पार्टनर के सुरक्षा ब्यौरे में दर्ज किया जाता है. हालांकि, सुरक्षा पैच लेवल का एलान करने के लिए, इन जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 6 जनवरी, 2025 | बुलेटिन पब्लिश किया गया |