Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-04-2025 या इसके बाद के सुरक्षा पैच लेवल से, इन सभी समस्याओं को ठीक किया जा सकता है. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए जाएंगे. AOSP के लिंक उपलब्ध होने पर, हम इस सूचना में बदलाव करेंगे.
इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, रिमोट से ऐक्सेस करने की अनुमति को बढ़ाया जा सकता है. इसके लिए, अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. डेटा का गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती. गंभीरता का आकलन इस बात पर आधारित होता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने वाली सुविधाएं बंद हैं या नहीं या उन्हें बाईपास कर दिया गया है.
Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए सुरक्षा को बेहतर बनाने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect की मदद से, इस तरह के हमलों को कम करने के तरीकों के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा, किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.
01-04-2025 के सुरक्षा पैच लेवल की समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-04-2025 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस की अनुमति बढ़ सकती है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. डेटा का गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2025-22429 | A-373357090 | आईडी | सबसे अहम | 13, 14, 15 |
| CVE-2025-22416 | A-277207798 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22417 | A-332277530 | EoP | ज़्यादा | 14, 15 |
| CVE-2025-22422 | A-339532378 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22424 | A-350456241 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22426 | A-365086157 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22434 | A-378900798 | EoP | ज़्यादा | 14, 15 |
| CVE-2025-22437 | A-317203980 | EoP | ज़्यादा | 13 |
| CVE-2025-22438 | A-343129193 | EoP | ज़्यादा | 13, 14 |
| CVE-2025-22442 | A-382064697 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2024-49722 | A-341688848 | आईडी | ज़्यादा | 15 |
| CVE-2025-22421 | A-338024220 | आईडी | ज़्यादा | 13, 14, 15 |
| CVE-2025-22430 | A-374257207 | आईडी | ज़्यादा | 15 |
| CVE-2025-22431 | A-375623125 | डीओएस | ज़्यादा | 13, 14, 15 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से ऐक्सेस करने की अनुमति बढ़ सकती है. इसके लिए, अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. डेटा का गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2025-26416 | A-388480622 | EoP | सबसे अहम | 13, 14, 15 |
| CVE-2025-22423 | A-346797131 | डीओएस | सबसे अहम | 13, 14, 15 |
| CVE-2024-40653 | A-293458004 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2024-49720 | A-355411348 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2024-49730 | A-284989074 | EoP | ज़्यादा | 13, 14 |
| CVE-2025-22418 | A-333344157 | EoP | ज़्यादा | 13, 14 |
| CVE-2025-22419 | A-335387175 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22427 | A-368579654 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22428 | A-372671447 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22432 | A-376461726 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22433 | A-376674080 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22435 | A-273995284 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22439 | A-352294617 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2024-49728 | A-296915500 | आईडी | ज़्यादा | 13, 14, 15 |
Google Play के सिस्टम अपडेट
Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| सब-कॉम्पोनेंट | CVE |
|---|---|
| Documents का यूज़र इंटरफ़ेस (यूआई) | CVE-2025-22439 |
| MediaProvider | CVE-2024-49730 |
| अनुमति कंट्रोलर | CVE-2024-49720 |
05-04-2025 के सुरक्षा पैच लेवल की समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-04-2025 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को हल करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
कर्नेल
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस की अनुमति बढ़ सकती है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. डेटा का गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2024-50264 | A-378870958
अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | कुल |
| CVE-2024-53197 | A-382243530
अपस्ट्रीम कर्नेल [2] |
EoP | ज़्यादा | यूएसबी |
| CVE-2024-56556 | A-380855429
अपस्ट्रीम कर्नेल [2] |
EoP | ज़्यादा | बाइंडर |
| CVE-2024-53150 | A-382239029
अपस्ट्रीम कर्नेल [2] |
आईडी | ज़्यादा | यूएसबी |
ग्रुप के कॉम्पोनेंट
इस समस्या का असर Arm के कॉम्पोनेंट पर पड़ता है. इस बारे में ज़्यादा जानकारी सीधे Arm से ली जा सकती है. इस समस्या की गंभीरता का आकलन, सीधे Arm करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2025-0050 |
A-384996147 * | ज़्यादा | माली |
Imagination Technologies
इन कमजोरियों का असर, Imagination Technologies के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Imagination Technologies से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Imagination Technologies करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-43702 |
A-363071287 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-43703 |
A-366410795 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-46972 |
A-374964509 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-47897 |
A-381272263 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-52936 |
A-380302155 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-52937 |
A-381273105 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-52938 |
A-380397760 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-47894 |
A-382770071 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-47895 |
A-380296167 * | ज़्यादा | PowerVR-GPU |
MediaTek के कॉम्पोनेंट
इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2025-20656 |
A-393950961
M-ALPS09625423 * |
ज़्यादा | डीए |
| CVE-2025-20657 |
A-393950963
M-ALPS09486425 * |
ज़्यादा | vdec |
| CVE-2025-20658 |
A-393950964
M-ALPS09474894 * |
ज़्यादा | डीए |
| CVE-2025-20655 |
A-393950958
M-DTV04427687 * |
ज़्यादा | Keymaster |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-43066 |
A-372003347
QC-CR#3731804 |
ज़्यादा | बूटलोडर |
| CVE-2024-49848 |
A-388048362
QC-CR#3908517 |
ज़्यादा | कर्नेल |
| CVE-2025-21429 |
A-388048166
QC-CR#3960857 [2] |
ज़्यादा | वाई-फ़ाई |
| CVE-2025-21430 |
A-388047866
QC-CR#3910625 [2] |
ज़्यादा | वाई-फ़ाई |
| CVE-2025-21434 |
A-388048345
QC-CR#3918068 |
ज़्यादा | वाई-फ़ाई |
| CVE-2025-21435 |
A-388047607
QC-CR#3924648 |
ज़्यादा | वाई-फ़ाई |
| CVE-2025-21436 |
A-388048322
QC-CR#3927062 |
ज़्यादा | कर्नेल |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा से जुड़े ब्यौरे या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-45551 |
A-372002538 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-33058 |
A-372002796 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-43065 |
A-372003122 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-45549 |
A-372002818 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-45552 |
A-372003503 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2025-21448 |
A-388048021 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-04-2025 या उसके बाद के सिक्योरिटी पैच लेवल, 01-04-2025 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 05-04-2025 या उसके बाद के सिक्योरिटी पैच लेवल, 05-04-2025 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
डिवाइस बनाने वाली जिन कंपनियों ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2025-04-01]
- [ro.build.version.security_patch]:[2025-04-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-04-2025 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-04-2025 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 05-04-2025 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | कैटगरी उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध न होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से डाउनलोड किए जा सकते हैं.
6. सुरक्षा से जुड़ी समस्याओं को इस सूचना और डिवाइस / पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सुरक्षा पैच का नया लेवल तय किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में बताई गई अतिरिक्त सुरक्षा से जुड़ी कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 7 अप्रैल, 2025 | बुलेटिन पब्लिश किया गया |