Android सुरक्षा बुलेटिन, फ़रवरी 2025

पब्लिश करने की तारीख: 3 फ़रवरी, 2025

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-02-2025 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपना Android वर्शन देखना और अपडेट करना लेख पढ़ें.

Android पार्टनर को सभी समस्याओं की सूचना, पब्लिश करने से कम से कम एक महीने पहले दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ किए गए हैं. साथ ही, इन्हें इस बुलेटिन से लिंक किया गया है. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इनमें से सबसे गंभीर समस्या, फ़्रेमवर्क कॉम्पोनेंट में सुरक्षा से जुड़ी गंभीर समस्या है. इसकी वजह से, स्थानीय स्तर पर ऐक्सेस लेवल को बढ़ाया जा सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. गंभीरता का आकलन इस बात पर आधारित होता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने के उपाय बंद किए गए हैं या नहीं या उन्हें बाईपास कर दिया गया है.

Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए सुरक्षा को बेहतर बनाने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.

Android और Google की सेवाओं से जुड़ी समस्याओं को हल करने के तरीके

इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect की मदद से, इस तरह के हमलों को कम करने के तरीकों के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

  • Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
  • Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा, किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.

01-02-2025 को जारी किए गए सुरक्षा पैच के लेवल पर, जोखिम की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी देते हैं जो 01-02-2025 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.

फ़्रेमवर्क

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE रेफ़रंस टाइप गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-49721 A-354682735 EoP ज़्यादा 12, 12L, 13
CVE-2024-49743 A-305695605 [2] [3] EoP ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-49746 A-359179312 [2] EoP ज़्यादा 12, 12L, 13, 14, 15
CVE-2025-0097 A-364037868 EoP ज़्यादा 15
CVE-2025-0098 A-367266072 EoP ज़्यादा 15
CVE-2025-0099 A-370962373 EoP ज़्यादा 15
CVE-2023-40122 A-286235483 आईडी ज़्यादा 12, 12L, 13, 14, 15
CVE-2023-40133 A-283264674 आईडी ज़्यादा 12, 12L, 13
CVE-2023-40134 A-283101289 आईडी ज़्यादा 12, 12L, 13
CVE-2023-40135 A-281848557 आईडी ज़्यादा 12, 12L, 13
CVE-2023-40136 A-281666022 आईडी ज़्यादा 12, 12L, 13
CVE-2023-40137 A-281665050 आईडी ज़्यादा 12, 12L, 13
CVE-2023-40138 A-281534749 आईडी ज़्यादा 12, 12L, 13
CVE-2023-40139 A-281533566 आईडी ज़्यादा 12, 12L, 13
CVE-2024-0037 A-292104015 आईडी ज़्यादा 12, 12L, 13, 14, 15
CVE-2025-0100 A-372670004 आईडी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-49741 A-353240784 डीओएस ज़्यादा 12, 12L, 13, 14, 15

प्लैटफ़ॉर्म

इस सेक्शन में मौजूद जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस की अनुमति बढ़ सकती है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE रेफ़रंस टाइप गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2025-0094 A-352542820 EoP ज़्यादा 12, 12L, 13, 14, 15

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE रेफ़रंस टाइप गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2025-0091 A-366401629 EoP ज़्यादा 12, 12L, 13, 14, 15
CVE-2025-0095 A-356117796 EoP ज़्यादा 14, 15
CVE-2025-0096 A-356630194 EoP ज़्यादा 15
CVE-2024-49723 A-357870429 [2] आईडी ज़्यादा 15
CVE-2024-49729 A-368069390 आईडी ज़्यादा 12, 12L, 13, 14, 15

Google Play के सिस्टम अपडेट

Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

सब-कॉम्पोनेंट CVE
Conscrypt CVE-2024-49723

2025-02-05 को सुरक्षा पैच के लेवल पर मौजूद जोखिम की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी देते हैं जो 05-02-2025 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

कर्नेल

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, ऐक्सेस लेवल को बढ़ाया जा सकता है. इसके लिए, अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE रेफ़रंस टाइप गंभीरता सब-कॉम्पोनेंट
CVE-2024-53104 A-378455392
अपस्ट्रीम कर्नेल [2]
EoP ज़्यादा यूवीसी
CVE-2025-0088 A-377672115
अपस्ट्रीम कर्नेल [2]
EoP ज़्यादा mremap

ग्रुप के कॉम्पोनेंट

इस समस्या का असर Arm के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Arm से संपर्क करें. इस समस्या की गंभीरता का आकलन, सीधे Arm करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2025-0015
A-376311652 * ज़्यादा माली

Imagination Technologies

इन कमजोरियों का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, सीधे Imagination Technologies से ली जा सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Imagination Technologies करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2024-43705
A-372931317
PP-160756*
ज़्यादा PowerVR-GPU
CVE-2024-46973
A-379728401
PP-160739*
ज़्यादा PowerVR-GPU
CVE-2024-47892
A-365954523
PP-160576 *
ज़्यादा PowerVR-GPU
CVE-2024-52935
A-380478495
PP-171230*
ज़्यादा PowerVR-GPU

MediaTek के कॉम्पोनेंट

इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर MediaTek करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2025-20634
A-381773169
M-MOLY01289384 *
ज़्यादा मॉडम
CVE-2024-20141
A-381773173
M-ALPS09291402 *
ज़्यादा डीए
CVE-2024-20142
A-381773175
M-ALPS09291406 *
ज़्यादा डीए
CVE-2025-20635
A-381771695
M-ALPS09403752 *
ज़्यादा डीए
CVE-2025-20636
A-381773171
M-ALPS09403554 *
ज़्यादा secmem

Unisoc के कॉम्पोनेंट

इस समस्या का असर Unisoc के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Unisoc से संपर्क करें. इस समस्या की गंभीरता का आकलन, Unisoc सीधे तौर पर करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2024-39441
A-381429835
U-2811333 *
ज़्यादा Android

Qualcomm के कॉम्पोनेंट

इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2024-45569
A-377311993
QC-CR#3852339
सबसे अहम WLAN
CVE-2024-45571
A-377313069
QC-CR#3834424
ज़्यादा WLAN
CVE-2024-45582
A-377312377
QC-CR#3868093
ज़्यादा कैमरा
CVE-2024-49832
A-377312238
QC-CR#3874301
ज़्यादा कैमरा
CVE-2024-49833
A-377312639
QC-CR#3874372 [2] [3] [4]
ज़्यादा कैमरा
CVE-2024-49834
A-377312055
QC-CR#3875406
ज़्यादा कैमरा
CVE-2024-49839
A-377311997
QC-CR#3895196
ज़्यादा WLAN
CVE-2024-49843
A-377313194
QC-CR#3883522
ज़्यादा डिसप्ले

Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट

इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2024-38404
A-357616389 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-38420
A-357616296 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपना Android वर्शन देखना और अपडेट करना लेख पढ़ें.

  • 01-02-2025 या उसके बाद के सिक्योरिटी पैच लेवल, 01-02-2025 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
  • 05-02-2025 या उसके बाद के सिक्योरिटी पैच लेवल, 05-02-2025 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने इन अपडेट को शामिल किया है उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2025-02-01]
  • [ro.build.version.security_patch]:[2025-02-05]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-02-2025 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?

इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

  • जिन डिवाइसों में 01-02-2025 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं के लिए किए गए सुधार भी शामिल होने चाहिए.
  • जिन डिवाइसों में 05-02-2025 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए, सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.

संक्षेपण परिभाषा
आरसीई रिमोट कोड को चलाना
EoP प्रिविलेज एस्कलेशन
आईडी जानकारी ज़ाहिर करना
डीओएस सेवा में रुकावट
लागू नहीं कैटगरी उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.

प्रीफ़िक्स रेफ़रंस
A- Android गड़बड़ी का आईडी
QC- Qualcomm का रेफ़रंस नंबर
M- MediaTek का रेफ़रंस नंबर
N- NVIDIA का रेफ़रंस नंबर
B- Broadcom का रेफ़रंस नंबर
U- UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

सार्वजनिक तौर पर उपलब्ध न होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से उपलब्ध होते हैं.

6. सुरक्षा से जुड़ी समस्याओं को इस सूचना और डिवाइस / पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?

इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सुरक्षा पैच का नया लेवल तय किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में बताई गई अतिरिक्त सुरक्षा से जुड़ी कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन तारीख नोट
1.0 3 फ़रवरी, 2025 बुलेटिन पब्लिश किया गया