Android सुरक्षा बुलेटिन-फरवरी 2021

1 फरवरी, 2021 को प्रकाशित | 2 फरवरी, 2021 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण है। 2021-02-05 का सुरक्षा पैच स्तर या बाद में इन सभी मुद्दों का समाधान। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण देखें और अपडेट करें

Android भागीदारों को प्रकाशन से कम से कम एक महीने पहले सभी मुद्दों के बारे में सूचित किया जाता है। इन मुद्दों के लिए सोर्स कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी किया गया है और इस बुलेटिन से लिंक किया गया है। इस बुलेटिन में AOSP के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में से सबसे गंभीर मीडिया फ्रेमवर्क घटक में एक महत्वपूर्ण सुरक्षा भेद्यता है जो एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग कर एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि मंच और सेवा शमन विकास के उद्देश्यों के लिए बंद कर दिए गए हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए एंड्रॉइड और Google Play प्रोटेक्ट मिटिगेशन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

Android और Google सेवा शमन

यह एंड्रॉइड सिक्योरिटी प्लेटफॉर्म और सर्विस प्रोटेक्शन जैसे Google Play Protect द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया जाता है। हम सभी उपयोगकर्ताओं को एंड्रॉइड के नवीनतम संस्करण में जहां संभव हो अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम Google Play प्रोटेक्ट के माध्यम से दुरुपयोग के लिए सक्रिय रूप से निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देती है। Google Play सुरक्षा Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं।

2021-02-01 सुरक्षा पैच स्तर भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2021-02-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के तहत वर्गीकृत किया जाता है। मुद्दों को नीचे दी गई तालिकाओं में वर्णित किया गया है और इसमें सीवीई आईडी, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन किए गए AOSP संस्करण (जहां लागू हो) शामिल हैं। जब उपलब्ध होता है, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं, जिसने बग आईडी को समस्या को संबोधित किया, जैसे AOSP परिवर्तन सूची। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं। Android 10 वाले डिवाइस और बाद में सुरक्षा अपडेट के साथ-साथ Google Play सिस्टम अपडेट प्राप्त कर सकते हैं।

Android रनटाइम

इस खंड में भेद्यता दूरस्थ सूचना के प्रकटीकरण के लिए आवश्यक अतिरिक्त निष्पादन विशेषाधिकार के साथ नहीं हो सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
सीवीई -2021-0341
A-171980069 [ 2 ] ईद उच्च ,.१, ९, १०, ११

ढांचा

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अतिरिक्त अनुमतियों तक पहुँच प्राप्त करने के लिए उपयोगकर्ता सहभागिता आवश्यकताओं को बायपास करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
सीवीई -2021-0302
A-155287782 ईओपी उच्च 10.१, ९, १०
सीवीई -2021-0305
A-154015447 [ 2 ] [ ] ईओपी उच्च 10.१, ९, १०
सीवीई -2021-0314
A-171221302 ईओपी उच्च ,.१, ९, १०, ११
सीवीई -2021-0327
A-172935267 ईओपी उच्च ,.१, ९, १०, ११
सीवीई -2021-0330
A-170732441 ईओपी उच्च 9, 10, 11
सीवीई -2021-0334
A- 163358811 ईओपी उच्च ,.१, ९, १०, ११
सीवीई -2021-0337
A-157474195 ईओपी उच्च ,.१, ९, १०, ११
सीवीई -2021-0339
A-145728687 [ 2 ] [ 3 ] [ ] [ ] ईओपी उच्च 10.१, ९, १०
सीवीई -2021-0340
A-134155286 ईओपी उच्च १०
सीवीई -2021-0338
A-156260178 करने योग्य उच्च १०, ११

मीडिया फ्रेमवर्क

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक रिमोट हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
सीवीई -2021-0325
A-174238784 आरसीई उच्च १०, ११
आरसीई नाजुक 9.१, ९
सीवीई -2021-0332
A-169256435 ईओपी उच्च १०, ११
सीवीई -2021-0335
A-160346309 ईद उच्च 1 1

प्रणाली

इस अनुभाग में सबसे गंभीर भेद्यता एक विशेष हमलावर ट्रांसमिशन का उपयोग कर एक रिमोट हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
सीवीई -2021-0326
A-172937525 आरसीई नाजुक ,.१, ९, १०, ११
सीवीई -2021-0328
A-172670415 ईओपी उच्च ,.१, ९, १०, ११
सीवीई -2021-0329
A-171400004 ईओपी उच्च ,.१, ९, १०, ११
सीवीई -2021-0331
A-170731783 ईओपी उच्च ,.१, ९, १०, ११
सीवीई -2021-0333
A-168504491 ईओपी उच्च ,.१, ९, १०, ११
सीवीई -2021-0336
A-158219161 ईओपी उच्च ,.१, ९, १०, ११

Google Play सिस्टम अपडेट

निम्नलिखित मुद्दे प्रोजेक्ट मेनलाइन घटकों में शामिल हैं।

अंग सीवीई
मीडिया कोडेक्स सीवीई -2021-0325

2021-02-05 सुरक्षा पैच स्तर भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं जो 2021-02-05 पैच स्तर पर लागू होती हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के तहत वर्गीकृत किया जाता है। मुद्दों को नीचे दी गई तालिकाओं में वर्णित किया गया है और इसमें सीवीई आईडी, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन किए गए AOSP संस्करण (जहां लागू हो) शामिल हैं। जब उपलब्ध होता है, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं, जिसने बग आईडी को समस्या को संबोधित किया, जैसे AOSP परिवर्तन सूची। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।

कर्नेल घटक

इस खंड में भेद्यता एक स्थानीय हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2017-18509 A-172999675
अपस्ट्रीम कर्नेल
ईओपी उच्च IPv6 मल्टीकास्ट

क्वालकॉम घटक

ये कमजोरियाँ क्वालकॉम घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम सुरक्षा बुलेटिन या सुरक्षा चेतावनी में और विस्तार से वर्णित हैं। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।

सीवीई संदर्भ तीव्रता अंग
CVE-2020-11272 A-172348733
QC-CR # 2598841
QC-CR # 2771345
नाजुक WLAN
CVE-2020-11271 A-172348954
QC-CR # 2555096
उच्च ऑडियो
CVE-2020-11277 A-172349048
QC-CR # 2731406 *
उच्च कैमरा
CVE-2020-11282 A-161374239
QC-CR # 2748408
उच्च प्रदर्शन
CVE-2020-11286 A-172348990
QC-CR # 2755788
उच्च गुठली
CVE-2020-11297 A-172349044
QC-CR # 2588832
उच्च WLAN

क्वालकॉम बंद-स्रोत घटक

ये भेद्यताएं क्वालकॉम के बंद-स्रोत घटकों को प्रभावित करती हैं और इन्हें आगे के विवरण में उपयुक्त क्वालकॉम सुरक्षा बुलेटिन या सुरक्षा चेतावनी में वर्णित किया गया है। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।

सीवीई संदर्भ तीव्रता अंग
CVE-2020-11163 A-162751928 * नाजुक बंद-स्रोत घटक
CVE-2020-11170 A-162753079 * नाजुक बंद-स्रोत घटक
CVE-2020-11177 A-162755362 * उच्च बंद-स्रोत घटक
CVE-2020-11180 A-168050602 * उच्च बंद-स्रोत घटक
CVE-2020-11187 A-162755638 * उच्च बंद-स्रोत घटक
CVE-2020-11253 A-168722706 * उच्च बंद-स्रोत घटक
CVE-2020-11269 A-172348983 * उच्च बंद-स्रोत घटक
CVE-2020-11270 A-172349024 * उच्च बंद-स्रोत घटक
CVE-2020-11275 A-172348985 * उच्च बंद-स्रोत घटक
CVE-2020-11276 A-172349003 * उच्च बंद-स्रोत घटक
CVE-2020-11278 A-172349045 * उच्च बंद-स्रोत घटक
CVE-2020-11280 A-172348987 * उच्च बंद-स्रोत घटक
CVE-2020-11281 A-161714839 * उच्च बंद-स्रोत घटक
CVE-2020-11283 A-168918306 * उच्च बंद-स्रोत घटक
CVE-2020-11287 A-172348989 * उच्च बंद-स्रोत घटक
CVE-2020-11296 A-172348729 * उच्च बंद-स्रोत घटक

आम सवाल और जवाब

यह खंड उन सामान्य प्रश्नों का उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन मुद्दों को हल करने के लिए अपडेट किया गया है?

डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण देखें और अपडेट करें

  • 2021-02-01 के सुरक्षा पैच स्तर या बाद में 2021-02-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2021-02-05 के सुरक्षा पैच स्तर या बाद में 2021-02-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

डिवाइस निर्माता जिनमें ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर पर सेट करना चाहिए:

  • [ro.build.version.security_patch]: [2021-02-01]
  • [ro.build.version.security_patch]: [2021-02-05]

Android 10 या उसके बाद के कुछ डिवाइसों के लिए, Google Play सिस्टम अपडेट में एक तारीख स्ट्रिंग होगी जो 2021-02-01 सुरक्षा पैच स्तर से मेल खाती है। सुरक्षा अद्यतन कैसे स्थापित करें, इस बारे में अधिक जानकारी के लिए कृपया इस लेख को देखें।

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर होते हैं ताकि एंड्रॉइड पार्टनर में कमजोरियों का एक सबसेट ठीक करने का लचीलापन हो जो सभी एंड्रॉइड डिवाइसों पर समान रूप से जल्दी से समान हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • 2021-02-01 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दे शामिल होने चाहिए, साथ ही पिछले सुरक्षा बुलेटिनों में बताए गए सभी मुद्दों के लिए सुधार शामिल हैं।
  • 2021-02-05 या नए के सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।

साझेदारों को उन सभी मुद्दों के लिए सुधार करने के लिए प्रोत्साहित किया जाता है, जिन्हें वे एक अद्यतन में संबोधित कर रहे हैं।

3. टाइप कॉलम में प्रविष्टियों का क्या मतलब है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियां सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षिप्त परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उत्थान
ईद जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन / ए वर्गीकरण उपलब्ध नहीं है

4. संदर्भ कॉलम में प्रविष्टियां क्या हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के तहत प्रविष्टियां उस संगठन की पहचान करने के लिए एक उपसर्ग हो सकती हैं जिसमें संदर्भ मान होता है।

उपसर्ग संदर्भ
ए- Android बग आईडी
QC- क्वालकॉम संदर्भ संख्या
म- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी ब्रॉडकॉम संदर्भ संख्या

5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे एक * क्या है?

सार्वजनिक रूप से उपलब्ध न होने वाले मुद्दों में संबंधित संदर्भ ID के आगे एक * होता है। उस समस्या के लिए अद्यतन आमतौर पर Google डेवलपर साइट से उपलब्ध पिक्सेल उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

6. इस बुलेटिन और डिवाइस / पार्टनर सुरक्षा बुलेटिन, जैसे कि पिक्सेल बुलेटिन के बीच सुरक्षा कमजोरियाँ क्यों विभाजित हैं?

इस सुरक्षा बुलेटिन में प्रलेखित सुरक्षा कमजोरियों को Android उपकरणों पर नवीनतम सुरक्षा पैच स्तर घोषित करना आवश्यक है। अतिरिक्त सुरक्षा सुरक्षाछिद्र जो डिवाइस / पार्टनर सुरक्षा बुलेटिन में दर्ज़ किए गए हैं उन्हें सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक नहीं है। एंड्रॉइड डिवाइस और चिपसेट निर्माता अपने उत्पादों, जैसे कि Google , Huawei , LGE , Motorola , Nokia , या Samsung के लिए विशिष्ट सुरक्षा भेद्यता विवरण प्रकाशित कर सकते हैं।

संस्करणों

संस्करण तारीख टिप्पणियाँ
1.0 1 फरवरी, 2021 बुलेटिन जारी किया
१.१ 2 फरवरी, 2021 बुलेटिन AOSP लिंक शामिल करने के लिए संशोधित