एंड्रॉइड ऑटोमोटिव ओएस अपडेट बुलेटिन-जनवरी 2023

3 जनवरी, 2022 को प्रकाशित

एंड्रॉइड ऑटोमोटिव ओएस (एएओएस) अपडेट बुलेटिन में एंड्रॉइड ऑटोमोटिव ओएस प्लेटफॉर्म को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। पूर्ण AAOS अपडेट में इस बुलेटिन के सभी मुद्दों के अलावा जनवरी 2023 एंड्रॉइड सुरक्षा बुलेटिन से 2023-01-05 या बाद का सुरक्षा पैच स्तर शामिल है।

हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

इनमें से सबसे गंभीर समस्या प्लेटफ़ॉर्म ऐप्स घटक में एक उच्च सुरक्षा भेद्यता है जो अतिरिक्त निष्पादन विशेषाधिकारों की आवश्यकता के बिना विशेषाधिकार के स्थानीय स्तर पर वृद्धि का कारण बन सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या यदि सफलतापूर्वक बायपास किया गया है।

घोषणाएं

  • जनवरी 2023 एंड्रॉइड सुरक्षा बुलेटिन में वर्णित सुरक्षा कमजोरियों के अलावा, जनवरी 2023 एंड्रॉइड ऑटोमोटिव ओएस अपडेट बुलेटिन में नीचे वर्णित अनुसार विशेष रूप से एएओएस कमजोरियों के लिए पैच भी शामिल हैं।

2023-01-01 सुरक्षा पैच स्तर भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2023-01-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के अंतर्गत समूहीकृत किया जाता है। मुद्दों का वर्णन नीचे दी गई तालिकाओं में किया गया है और इसमें सीवीई आईडी, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन एओएसपी संस्करण (जहां लागू हो) शामिल हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं। एंड्रॉइड 10 और उसके बाद वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ Google Play सिस्टम अपडेट भी प्राप्त हो सकते हैं।

मीडिया फ्रेमवर्क

इस अनुभाग में भेद्यता के कारण स्थानीय सूचना का खुलासा हो सकता है और किसी अतिरिक्त निष्पादन विशेषाधिकार की आवश्यकता नहीं होगी।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2022-20353 ए-221041256 पहचान उच्च 10, 11

प्लेटफ़ॉर्म ऐप्स

इस अनुभाग में सबसे गंभीर भेद्यता के कारण विशेषाधिकार में स्थानीय वृद्धि हो सकती है और किसी अतिरिक्त निष्पादन विशेषाधिकार की आवश्यकता नहीं है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2021-39738 ए-216190509 ईओपी उच्च 10, 11, 12, 12एल
सीवीई-2022-20425 ए-255830464 करने योग्य उच्च 10, 11

अतिरिक्त भेद्यता विवरण

नीचे दिया गया अनुभाग सुरक्षा कमजोरियों के विवरण प्रदान करता है जो प्रकटीकरण उद्देश्यों के लिए प्रदान किए जा रहे हैं। एसपीएल अनुपालन के लिए ये मुद्दे आवश्यक नहीं हैं।

प्लेटफ़ॉर्म ऐप्स

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2022-20213 ए-183410508 करने योग्य मध्यम 10, 11, 12
सीवीई-2022-20215 ए-183794206 करने योग्य मध्यम 10, 11, 12
सीवीई-2022-20214 ए-183411210 ईओपी कम 10, 11, 12

सिस्टम यूआई

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2022-20458 ए-205567776 ईओपी मध्यम 12एल

कर्नेल घटक

सीवीई संदर्भ प्रकार तीव्रता उप-घटक
सीवीई-2022-28389 ए-228694270
अपस्ट्रीम कर्नेल
ईओपी मध्यम USB CAN बस ड्राइवर

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, Google डिवाइस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।

  • 2023-01-01 या बाद के सुरक्षा पैच स्तर 2023-01-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।

जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2023-01-01]

एंड्रॉइड 10 या उसके बाद के कुछ उपकरणों के लिए, Google Play सिस्टम अपडेट में एक दिनांक स्ट्रिंग होगी जो 2023-01-01 सुरक्षा पैच स्तर से मेल खाती है। सुरक्षा अद्यतन स्थापित करने के तरीके के बारे में अधिक जानकारी के लिए कृपया यह आलेख देखें।

2. प्रकार कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियाँ सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षेपाक्षर परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उन्नयन
पहचान जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन/ए वर्गीकरण उपलब्ध नहीं है

3. संदर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
QC- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या
यू के आकार UNISOC संदर्भ संख्या

4. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * का क्या मतलब है?

जो मुद्दे सार्वजनिक रूप से उपलब्ध नहीं हैं, उनके संबंधित संदर्भ आईडी के आगे * है। उस समस्या का अद्यतन आम तौर पर Google डेवलपर साइट पर उपलब्ध पिक्सेल उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।

5. सुरक्षा कमजोरियाँ इस बुलेटिन और डिवाइस/साझेदार सुरक्षा बुलेटिन, जैसे कि पिक्सेल बुलेटिन, के बीच विभाजित क्यों हैं?

इस सुरक्षा बुलेटिन में दर्ज की गई सुरक्षा कमजोरियाँ Android उपकरणों पर नवीनतम सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक हैं। डिवाइस/साझेदार सुरक्षा बुलेटिन में दर्ज अतिरिक्त सुरक्षा कमजोरियाँ सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक नहीं हैं। एंड्रॉइड डिवाइस और चिपसेट निर्माता अपने उत्पादों, जैसे Google , Huawei , LGE , Motorola , Nokia , या Samsung के लिए विशिष्ट सुरक्षा भेद्यता विवरण भी प्रकाशित कर सकते हैं।

6. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • जो डिवाइस 2023-01-01 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।

साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।

संस्करणों

संस्करण तारीख टिप्पणियाँ
1.0 3 जनवरी 2022 बुलेटिन प्रकाशित