Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-05-2025 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को सभी समस्याओं की सूचना, पब्लिकेशन से कम से कम एक महीने पहले दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए जाएंगे. AOSP के लिंक उपलब्ध होने पर, हम इस सूचना में बदलाव करेंगे.
इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, स्थानीय कोड को बिना किसी अतिरिक्त अनुमति के चलाया जा सकता है. डेटा का गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती. गंभीर समस्या का आकलन, इस बात पर आधारित होता है कि किसी डिवाइस पर, इस समस्या का इस्तेमाल करने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कम करने वाली सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया गया है या नहीं.
Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए सुरक्षा को बेहतर बनाने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect से मिलने वाले सुरक्षा उपायों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा, किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.
01-05-2025 के सुरक्षा पैच लेवल की समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-05-2025 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
Framework
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर विशेषाधिकार बढ़ सकते हैं. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती. डेटा का गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2023-21342 | A-232799171 | EoP | ज़्यादा | 13 |
| CVE-2024-34739 | A-294105066 | EoP | ज़्यादा | 13, 14 |
| CVE-2025-0077 | A-360838273 | EoP | ज़्यादा | 15 |
| CVE-2025-0087 | A-333681693 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22425 | A-364604008 | EoP | ज़्यादा | 13, 14 |
| CVE-2025-26422 | A-383328827 | EoP | ज़्यादा | 15 |
| CVE-2025-26426 | A-310632322 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-26427 | A-200034476 | EoP | ज़्यादा | 13, 14 |
| CVE-2025-26428 | A-378514614 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-26436 | A-322159724 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-26440 | A-290086710 | EoP | ज़्यादा | 14 |
| CVE-2025-26444 | A-191743558 | EoP | ज़्यादा | 13, 14 |
| CVE-2025-26424 | A-341253275 | ID | ज़्यादा | 15 |
| CVE-2025-26442 | A-386216637 | ID | ज़्यादा | 13, 14, 15 |
| CVE-2025-26429 | A-372678095 | डीओएस | ज़्यादा | 13, 14, 15 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय कोड को बिना किसी अतिरिक्त अनुमति के चलाया जा सकता है. डेटा का गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2025-27363 | A-399065987 | आरसीई | ज़्यादा | 13, 14 |
| CVE-2025-26420 | A-313909156 | EoP | ज़्यादा | 13, 14 |
| CVE-2025-26421 | A-344865740 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-26423 | A-349550024 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-26425 | A-379362792 | EoP | ज़्यादा | 14, 15 |
| CVE-2025-26430 | A-372895305 | EoP | ज़्यादा | 15 |
| CVE-2025-26435 | A-337774836 | EoP | ज़्यादा | 15 |
| CVE-2025-26438 | A-251514171 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2023-35657 | A-260230151 | ID | ज़्यादा | 13, 14, 15 |
Google Play के सिस्टम अपडेट
Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| सब-कॉम्पोनेंट | CVE |
|---|---|
| Documents का यूज़र इंटरफ़ेस (यूआई) | CVE-2025-26427 |
| अनुमति कंट्रोलर | CVE-2025-26420, CVE-2025-26425 |
| वाई-फ़ाई | CVE-2025-26423 |
05-05-2025 के सुरक्षा पैच लेवल की समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 05-05-2025 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
कर्नेल एलटीएस
इन कर्नेल वर्शन को अपडेट कर दिया गया है. डिवाइस लॉन्च होने के समय Android OS के वर्शन के हिसाब से, कर्नेल वर्शन के अपडेट मिलते हैं.
| रेफ़रंस | Android का लॉन्च वर्शन | कर्नेल का लॉन्च वर्शन | अपडेट का कम से कम वर्शन |
|---|---|---|---|
| A-379176371 | 12 | 5.4 | 5.4.284 |
Imagination Technologies
इस समस्या का असर, Imagination Technologies के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Imagination Technologies से संपर्क करें. इस समस्या की गंभीरता का आकलन, सीधे Imagination Technologies करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट | |
|---|---|---|---|---|
| CVE-2024-49739 |
A-369911749 * | ज़्यादा | PowerVR-GPU |
ग्रुप के कॉम्पोनेंट
इन कमजोरियों का असर Arm के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Arm से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Arm करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट | |
|---|---|---|---|---|
| CVE-2025-0072 |
A-391928904 * | ज़्यादा | माली | |
| CVE-2025-0427 |
A-391932683 * | ज़्यादा | माली |
Imagination Technologies
इन कमजोरियों का असर, Imagination Technologies के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Imagination Technologies से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Imagination Technologies करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट | |
|---|---|---|---|---|
| CVE-2024-12577 |
A-381274694 * | ज़्यादा | PowerVR-GPU | |
| CVE-2024-46974 |
A-383191754 * | ज़्यादा | PowerVR-GPU | |
| CVE-2024-46975 |
A-385657784 * | ज़्यादा | PowerVR-GPU | |
| CVE-2024-47891 |
A-383349630 * | ज़्यादा | PowerVR-GPU | |
| CVE-2024-47896 |
A-380438039 * | ज़्यादा | PowerVR-GPU | |
| CVE-2024-47900 |
A-382314359 * | ज़्यादा | PowerVR-GPU | |
| CVE-2024-52939 |
A-381276124 * | ज़्यादा | PowerVR-GPU |
MediaTek के कॉम्पोनेंट
इस समस्या का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इस समस्या की गंभीरता का आकलन, सीधे MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट | |
|---|---|---|---|---|
| CVE-2025-20666 |
A-400286977
MOLY00650610 * |
ज़्यादा | मॉडम |
Qualcomm के कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट | |
|---|---|---|---|---|
| CVE-2024-45580 |
A-377312730
QC-CR#3865921 |
ज़्यादा | कर्नेल | |
| CVE-2025-21453 |
A-394100452
QC-CR#3886536 |
ज़्यादा | जगह की जानकारी | |
| CVE-2025-21459 |
A-394100826
QC-CR#3930736 |
ज़्यादा | वाई-फ़ाई | |
| CVE-2025-21467 |
A-394100273
QC-CR#3951611 [2] |
ज़्यादा | कैमरा | |
| CVE-2025-21468 |
A-394100476
QC-CR#3947707 |
ज़्यादा | कैमरा |
Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट
इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | सब-कॉम्पोनेंट | |
|---|---|---|---|---|
| CVE-2024-49835 |
A-377313214 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2024-49841 |
A-377313111 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2024-49842 |
A-377312414 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2024-49845 |
A-377312478 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2024-49846 |
A-377312558 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट | |
| CVE-2024-49847 |
A-377312571 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.
- 01-05-2025 या उसके बाद के सिक्योरिटी पैच लेवल, 01-05-2025 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 05-05-2025 या उसके बाद के सिक्योरिटी पैच लेवल, 05-05-2025 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2025-05-01]
- [ro.build.version.security_patch]:[2025-05-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-05-2025 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-05-2025 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 05-05-2025 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| ID | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | कैटगरी उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से डाउनलोड किए जा सकते हैं.
6. सुरक्षा से जुड़ी समस्याओं को इस सूचना और डिवाइस/पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?
इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर नए सिक्योरिटी पैच लेवल का एलान किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस/पार्टनर के सुरक्षा बुलेटिन में बताई गई अतिरिक्त सुरक्षा से जुड़ी कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 5 मई, 2025 | बुलेटिन पब्लिश किया गया |