Android सुरक्षा बुलेटिन—मार्च 20255

पब्लिश करने की तारीख: 3 मार्च, 2025

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-03-2025 या उसके बाद के सुरक्षा पैच लेवल से, इन सभी समस्याओं को हल किया जा सकता है. किसी डिवाइस के सिक्योरिटी पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

Android पार्टनर को सभी समस्याओं की सूचना, पब्लिकेशन से कम से कम एक महीने पहले दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के रिपॉज़िटरी में रिलीज़ किए गए हैं. साथ ही, इन्हें इस बुलेटिन से लिंक किया गया है. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, रिमोट कोड प्रोग्राम को बिना किसी अतिरिक्त अनुमति के चलाया जा सकता है. गंभीरता का आकलन इस बात पर आधारित होता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने वाली सुविधाएं बंद हैं या नहीं या उन्हें बाईपास कर दिया गया है.

Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए सुरक्षा को बेहतर बनाने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.

Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना

इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect की मदद से, इस तरह के हमलों को कम करने के तरीकों के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

  • Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
  • Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा, किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.

01-03-2025 के सुरक्षा पैच लेवल की समस्या की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी देते हैं जो 01-03-2025 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.

फ़्रेमवर्क

इस सेक्शन में सबसे गंभीर जोखिम, उपयोगकर्ता को 'कार्रवाई करने की अनुमति' देने से जुड़ा है. इसके लिए, उपयोगकर्ता के पास 'कार्रवाई करने की अनुमति' होनी चाहिए.

CVE रेफ़रंस टाइप गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-0032 A-283962634 [2] EoP ज़्यादा 12, 12L, 13, 14
CVE-2024-43093 A-341680936 EoP ज़्यादा 12, 12L, 13, 14, 15
CVE-2025-0078 A-382775095 EoP ज़्यादा 12, 12L, 13, 14, 15
CVE-2025-0080 A-370958259 EoP ज़्यादा 15
CVE-2025-0087 A-333681693 EoP ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43090 A-331180422 आईडी ज़्यादा 12, 12L, 13, 14, 15
CVE-2025-0083 A-376259166 [2] आईडी ज़्यादा 12, 12L, 13, 14, 15
CVE-2025-0086 A-364269936 आईडी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-49740 A-308932906 [2] डीओएस ज़्यादा 12, 12L, 13, 14, 15

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट कोड प्रोग्राम चलाया जा सकता है. इसके लिए, कोड चलाने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE रेफ़रंस टाइप गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2025-0074 A-375408314 आरसीई सबसे अहम 15
CVE-2025-0075 A-375407167 आरसीई सबसे अहम 15
CVE-2025-0084 A-291281168 आरसीई सबसे अहम 13, 14, 15
CVE-2025-22403 A-375409435 आरसीई सबसे अहम 15
CVE-2025-22408 A-375397164 आरसीई सबसे अहम 15
CVE-2025-22410 A-375397720 आरसीई सबसे अहम 15
CVE-2025-22411 A-375398779 आरसीई सबसे अहम 15
CVE-2025-22412 A-375404242 आरसीई सबसे अहम 15
CVE-2025-22409 A-375397370 EoP सबसे अहम 15
CVE-2025-0081 A-347735428 डीओएस सबसे अहम 12, 12L, 13, 14, 15
CVE-2023-21125 A-228837201 EoP ज़्यादा 12, 12L
CVE-2025-0079 A-345258562 EoP ज़्यादा 12, 12L, 13, 14, 15
CVE-2025-22404 A-375159480 EoP ज़्यादा 15
CVE-2025-22405 A-375159652 EoP ज़्यादा 15
CVE-2025-22406 A-375160214 EoP ज़्यादा 15
CVE-2024-49728 A-296915500 आईडी ज़्यादा 12, 12L, 13, 14, 15
CVE-2025-0082 A-376461551 [2] आईडी ज़्यादा 12, 12L, 13, 14, 15
CVE-2025-0092 A-289375038 आईडी ज़्यादा 12, 12L, 13, 14, 15
CVE-2025-0093 A-289811388 आईडी ज़्यादा 12, 12L, 13, 14, 15
CVE-2025-22407 A-375396810 आईडी ज़्यादा 15
CVE-2025-26417 A-304497167 आईडी ज़्यादा 12, 12L, 13, 14, 15

Google Play के सिस्टम अपडेट

Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

सब-कॉम्पोनेंट CVE
Documents का यूज़र इंटरफ़ेस (यूआई) CVE-2024-43093

05-03-2025 के सुरक्षा पैच लेवल की समस्या की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 05-03-2025 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

कर्नेल

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, कर्नेल में स्थानीय स्तर पर विशेषाधिकार बढ़ सकते हैं. इसके लिए, प्रोग्राम को चलाने के लिए अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.

CVE रेफ़रंस टाइप गंभीरता सब-कॉम्पोनेंट
CVE-2024-46852 A-363259128
अपस्ट्रीम कर्नेल [2]
EoP ज़्यादा dma-buf
CVE-2024-50302 A-380395346
अपस्ट्रीम कर्नेल [2]
आईडी ज़्यादा एचआईडी
CVE-2025-22413 A-373638114
अपस्ट्रीम कर्नेल [2]
आईडी ज़्यादा केवीएम

MediaTek के कॉम्पोनेंट

इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे MediaTek करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2025-20645 A-386732172
ALPS09475476 *
ज़्यादा KeyInstall
CVE-2025-20644 A-386727712
MOLY01525673 *
ज़्यादा मॉडम

Qualcomm के कॉम्पोनेंट

इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2024-49836 A-377312708
QC-CR#3875452
ज़्यादा कैमरा
CVE-2024-49838 A-377312892
QC-CR#3897418
ज़्यादा वाई-फ़ाई
CVE-2024-53014 A-381898850
QC-CR#3879278
ज़्यादा ऑडियो
CVE-2024-53024 A-381899455
QC-CR#3902182
ज़्यादा डिसप्ले
CVE-2024-53027 A-381901669
QC-CR#3910626
ज़्यादा वाई-फ़ाई

Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट

इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2024-43051
A-364018031 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-53011
A-381898780 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-53025
A-381901187 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

  • 01-03-2025 या उसके बाद के सिक्योरिटी पैच लेवल, 01-03-2025 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
  • 05-03-2025 या उसके बाद के सिक्योरिटी पैच लेवल, 05-03-2025 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2025-03-01]
  • [ro.build.version.security_patch]:[2025-03-05]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-03-2025 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?

इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

  • जिन डिवाइसों में 01-03-2025 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
  • जिन डिवाइसों में 05-03-2025 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.

संक्षेपण परिभाषा
आरसीई रिमोट कोड को चलाना
EoP प्रिविलेज एस्कलेशन
आईडी जानकारी ज़ाहिर करना
डीओएस सेवा में रुकावट
लागू नहीं क्लासिफ़िकेशन उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.

प्रीफ़िक्स रेफ़रंस
A- Android गड़बड़ी का आईडी
QC- Qualcomm का रेफ़रंस नंबर
M- MediaTek का रेफ़रंस नंबर
N- NVIDIA का रेफ़रंस नंबर
B- Broadcom का रेफ़रंस नंबर
U- UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से उपलब्ध होते हैं.

6. सुरक्षा से जुड़ी समस्याओं को इस सूचना और डिवाइस / पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?

इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सुरक्षा पैच का नया लेवल तय किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में बताई गई अतिरिक्त सुरक्षा से जुड़ी कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन तारीख नोट
1.0 3 मार्च, 2025 बुलेटिन पब्लिश किया गया