एंड्रॉइड ऑटोमोटिव ओएस (एएओएस) अपडेट बुलेटिन में एंड्रॉइड ऑटोमोटिव ओएस प्लेटफॉर्म को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। पूर्ण AAOS अपडेट में इस बुलेटिन के सभी मुद्दों के अलावा दिसंबर 2022 एंड्रॉइड सुरक्षा बुलेटिन से 2022-12-05 या बाद का सुरक्षा पैच स्तर शामिल है।
हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
इनमें से सबसे गंभीर समस्या प्लेटफ़ॉर्म ऐप्स घटक में एक उच्च सुरक्षा भेद्यता है जो अतिरिक्त निष्पादन विशेषाधिकारों की आवश्यकता के बिना विशेषाधिकार के स्थानीय स्तर पर वृद्धि का कारण बन सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या यदि सफलतापूर्वक बायपास किया गया है।
घोषणाएं
- दिसंबर 2022 एंड्रॉइड सुरक्षा बुलेटिन में वर्णित सुरक्षा कमजोरियों के अलावा, दिसंबर 2022 एंड्रॉइड ऑटोमोटिव ओएस अपडेट बुलेटिन में नीचे वर्णित अनुसार विशेष रूप से एएओएस कमजोरियों के लिए पैच भी शामिल हैं।
2022-12-01 सुरक्षा पैच स्तर भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2022-12-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के अंतर्गत समूहीकृत किया जाता है। मुद्दों का वर्णन नीचे दी गई तालिकाओं में किया गया है और इसमें सीवीई आईडी, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन एओएसपी संस्करण (जहां लागू हो) शामिल हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं। एंड्रॉइड 10 और उसके बाद वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ Google Play सिस्टम अपडेट भी प्राप्त हो सकते हैं।
प्लेटफ़ॉर्म ऐप्स
इस अनुभाग में सबसे गंभीर भेद्यता के कारण विशेषाधिकार में स्थानीय वृद्धि हो सकती है और किसी अतिरिक्त निष्पादन विशेषाधिकार की आवश्यकता नहीं है।| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2021-0481 | ए-172939189 | ईओपी | उच्च | 10, 11 |
| सीवीई-2021-39706 | ए-200164168 | ईओपी | उच्च | 10, 11 |
| सीवीई-2021-39707 | ए-200688991 | ईओपी | उच्च | 10, 11 |
| सीवीई-2022-20144 | ए-250637906 | ईओपी | उच्च | 10, 11 |
| सीवीई-2022-20223 | ए-223578534 | ईओपी | उच्च | 10, 11 |
| सीवीई-2022-20348 | ए-250910523 | ईओपी | उच्च | 10, 11 |
| सीवीई-2021-39631 | ए-193890833 | पहचान | उच्च | 10, 11, 12, 12एल, 13 |
प्रणाली
इस अनुभाग में भेद्यता के कारण उपयोगकर्ता निष्पादन विशेषाधिकारों की आवश्यकता के साथ विशेषाधिकार में स्थानीय वृद्धि हो सकती है।| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2021-0954 | ए-143559931 | ईओपी | उच्च | 11, 12, 12एल, 13 |
सामान्य प्रश्न और उत्तर
यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, Google डिवाइस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।
- 2022-12-01 या बाद के सुरक्षा पैच स्तर 2022-12-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2022-12-01]
एंड्रॉइड 10 या उसके बाद के कुछ उपकरणों के लिए, Google Play सिस्टम अपडेट में एक दिनांक स्ट्रिंग होगी जो 2022-12-01 सुरक्षा पैच स्तर से मेल खाती है। सुरक्षा अद्यतन स्थापित करने के तरीके के बारे में अधिक जानकारी के लिए कृपया यह आलेख देखें।
2. प्रकार कॉलम में प्रविष्टियों का क्या अर्थ है?
भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियाँ सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।
| संक्षेपाक्षर | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड निष्पादन |
| ईओपी | विशेषाधिकार का उन्नयन |
| पहचान | जानकारी प्रकटीकरण |
| करने योग्य | सेवा की मनाई |
| एन/ए | वर्गीकरण उपलब्ध नहीं है |
3. संदर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| QC- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
| यू के आकार | UNISOC संदर्भ संख्या |
4. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * का क्या मतलब है?
जो मुद्दे सार्वजनिक रूप से उपलब्ध नहीं हैं, उनके संबंधित संदर्भ आईडी के आगे * है। उस समस्या का अद्यतन आम तौर पर Google डेवलपर साइट पर उपलब्ध पिक्सेल उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।
5. सुरक्षा कमजोरियाँ इस बुलेटिन और डिवाइस/साझेदार सुरक्षा बुलेटिन, जैसे कि पिक्सेल बुलेटिन, के बीच विभाजित क्यों हैं?
इस सुरक्षा बुलेटिन में दर्ज की गई सुरक्षा कमजोरियाँ Android उपकरणों पर नवीनतम सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक हैं। डिवाइस/साझेदार सुरक्षा बुलेटिन में दर्ज अतिरिक्त सुरक्षा कमजोरियाँ सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक नहीं हैं। एंड्रॉइड डिवाइस और चिपसेट निर्माता अपने उत्पादों, जैसे Google , Huawei , LGE , Motorola , Nokia , या Samsung के लिए विशिष्ट सुरक्षा भेद्यता विवरण भी प्रकाशित कर सकते हैं।
संस्करणों
संस्करणों
| संस्करण | तारीख | टिप्पणियाँ |
|---|---|---|
| 1.0 | 5 दिसंबर 2022 | बुलेटिन प्रकाशित |