Android सुरक्षा बुलेटिन—नवंबर 2021

1 नवंबर, 2021 को प्रकाशित | 3 दिसंबर, 2021 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। 2021-11-06 या बाद के सुरक्षा पैच स्तर इन सभी मुद्दों को संबोधित करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण जांचें और अपडेट करें देखें.

प्रकाशन से कम से कम एक महीने पहले Android भागीदारों को सभी मुद्दों के बारे में सूचित किया जाता है। इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपोजिटरी में जारी किए गए हैं और इस बुलेटिन से जुड़े हुए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं

इन मुद्दों में सबसे गंभीर सिस्टम घटक में एक महत्वपूर्ण सुरक्षा भेद्यता है जो एक विशेष रूप से तैयार किए गए ट्रांसमिशन का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकता है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का दोहन संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या यदि सफलतापूर्वक बायपास कर दिया गया है।

Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए Android और Google Play प्रोटेक्ट मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

Android और Google सेवा में कमी

यह Android सुरक्षा प्लेटफ़ॉर्म और Google Play Protect जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • Android सुरक्षा टीम सक्रिय रूप से Google Play Protect के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play प्रोटेक्ट Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।

2021-11-01 सुरक्षा पैच स्तर की भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2021-11-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के अंतर्गत वर्गीकृत किया जाता है। समस्याओं का वर्णन नीचे दी गई तालिका में किया गया है और इसमें सीवीई आईडी, संबद्ध संदर्भ, भेद्यता के प्रकार , गंभीरता और अपडेट किए गए एओएसपी संस्करण (जहां लागू हो) शामिल हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं। Android 10 और बाद के संस्करण वाले डिवाइस सुरक्षा अपडेट के साथ-साथ Google Play सिस्टम अपडेट प्राप्त कर सकते हैं।

ढांचा

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय हमलावर को अतिरिक्त अनुमतियों तक पहुंच प्राप्त करने में सक्षम कर सकती है, जिसमें कोई उपयोगकर्ता सहभागिता आवश्यक नहीं है।

सीवीई संदर्भ प्रकार तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2021-0799 ए-197647956 ईओपी उच्च 12
सीवीई-2021-0921 ए-195962697 ईओपी उच्च 1 1
सीवीई-2021-0923 ए-195338390 ईओपी उच्च 12
सीवीई-2021-0926 ए-191053931 ईओपी उच्च 9, 10, 11, 12
सीवीई-2021-0933 ए-172251622 ईओपी उच्च 9, 10, 11, 12
सीवीई-2020-13871 ए-192606047 पहचान उच्च 1 1
सीवीई-2021-0653 ए-177931370 पहचान उच्च 9, 10, 11
सीवीई-2021-0922 ए-195630721 ईओपी उदारवादी 1 1

मीडिया फ्रेमवर्क

इस खंड में सबसे गंभीर भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अतिरिक्त अनुमतियों तक पहुंच प्राप्त करने के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं को बायपास करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2021-0928 ए-188675581 ईओपी उच्च 9, 10, 11
सीवीई-2021-0650 ए-190286685 पहचान उच्च 9, 10, 11

प्रणाली

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार किए गए ट्रांसमिशन का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2021-0918 ए-197536150 आरसीई गंभीर 12
सीवीई-2021-0930 ए-181660091 आरसीई गंभीर 9, 10, 11, 12
सीवीई-2021-0434 ए-167403112 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] ईओपी उच्च 9, 10, 11
सीवीई-2021-0649 ए-191382886 [ 2 ] ईओपी उच्च 1 1
सीवीई-2021-0932 ए-173025705 ईओपी उच्च 10
सीवीई-2021-0925 ए-191444150 पहचान उच्च 12
सीवीई-2021-0931 ए-180747689 पहचान उच्च 9, 10, 11, 12
सीवीई-2021-0919 ए-197336441 करने योग्य उदारवादी 9, 10, 11

Google Play सिस्टम अपडेट

निम्नलिखित मुद्दों को प्रोजेक्ट मेनलाइन घटकों में शामिल किया गया है।

अवयव सीवीई
टेदरिंग सीवीई-2021-0653
मीडिया फ्रेमवर्क घटक सीवीई-2021-0650
टेदरिंग सीवीई-2021-0649

2021-11-05 सुरक्षा पैच स्तर की भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2021-11-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के अंतर्गत वर्गीकृत किया जाता है। समस्याओं का वर्णन नीचे दी गई तालिका में किया गया है और इसमें सीवीई आईडी, संबद्ध संदर्भ, भेद्यता के प्रकार , गंभीरता और अपडेट किए गए एओएसपी संस्करण (जहां लागू हो) शामिल हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

कर्नेल घटक

इस खंड में सबसे गंभीर भेद्यता मुफ्त के बाद उपयोग के कारण विशेषाधिकार की स्थानीय वृद्धि हो सकती है।
सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2021-0920 ए-196926917
अपस्ट्रीम कर्नेल
ईओपी उच्च गुठली
सीवीई-2021-0924 ए-194461020
अपस्ट्रीम कर्नेल
ईओपी उच्च USB
सीवीई-2021-0929 ए-187527909
अपस्ट्रीम कर्नेल [ 2 ] [ 3 ]
ईओपी उच्च आयन

एंड्रॉइड टीवी

इस खंड में सबसे गंभीर भेद्यता एक निकटवर्ती हमलावर को चुपचाप टीवी के साथ जोड़ी बनाने और बिना किसी विशेषाधिकार या उपयोगकर्ता सहभागिता के मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2021-0889 ए-180745296 आरसीई गंभीर एंड्रॉइड टीवी रिमोट सर्विस
सीवीई-2021-0927 ए-189824175 ईओपी उच्च टीवी इनपुट प्रबंधक

मीडियाटेक घटक

यह भेद्यता मीडियाटेक घटकों को प्रभावित करती है और अधिक विवरण सीधे मीडियाटेक से उपलब्ध हैं। इस मुद्दे की गंभीरता का आकलन सीधे मीडियाटेक द्वारा प्रदान किया जाता है।

सीवीई संदर्भ तीव्रता अवयव
सीवीई-2021-0672
ए-199678035
एम-एएलपीएस05969704 *
उच्च ब्राउज़र ऐप

क्वालकॉम बंद-स्रोत घटक

ये कमजोरियां क्वालकॉम के क्लोज्ड-सोर्स घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम सुरक्षा बुलेटिन या सुरक्षा अलर्ट में अधिक विस्तार से वर्णित हैं। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।

सीवीई संदर्भ तीव्रता अवयव
सीवीई-2021-1924
ए-187074639 * गंभीर बंद स्रोत घटक
सीवीई-2021-1975
ए-187074053 * गंभीर बंद स्रोत घटक
सीवीई-2021-1921
ए-187074562 * उच्च बंद स्रोत घटक
सीवीई-2021-1973
ए-187074563 * उच्च बंद स्रोत घटक
सीवीई-2021-1979
ए-187073200 * उच्च बंद स्रोत घटक
सीवीई-2021-1981
ए-187074764 * उच्च बंद स्रोत घटक
सीवीई-2021-1982
ए-187074484 * उच्च बंद स्रोत घटक
सीवीई-2021-30254
ए-187074014 * उच्च बंद स्रोत घटक
सीवीई-2021-30255
ए-187074054 * उच्च बंद स्रोत घटक
सीवीई-2021-30284
ए-187074013 * उच्च बंद स्रोत घटक

2021-11-06 सुरक्षा पैच स्तर की भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2021-11-06 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के अंतर्गत वर्गीकृत किया जाता है। समस्याओं का वर्णन नीचे दी गई तालिका में किया गया है और इसमें सीवीई आईडी, संबद्ध संदर्भ, भेद्यता के प्रकार , गंभीरता और अपडेट किए गए एओएसपी संस्करण (जहां लागू हो) शामिल हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

कर्नेल घटक

इस खंड में भेद्यता मुफ्त के बाद उपयोग के कारण विशेषाधिकार की स्थानीय वृद्धि का कारण बन सकती है।
सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2021-1048 ए-204573007
अपस्ट्रीम कर्नेल
ईओपी उच्च गुठली

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन मुद्दों को हल करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण जांचें और अपडेट करें देखें.

  • 2021-11-01 या बाद के सुरक्षा पैच स्तर 2021-11-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2021-11-05 या बाद के सुरक्षा पैच स्तर 2021-11-05 सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2021-11-06 या बाद के सुरक्षा पैच स्तर 2021-11-06 सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2021-11-01]
  • [ro.build.version.security_patch]:[2021-11-05]
  • [ro.build.version.security_patch]:[2021-11-06]

Android 10 या उसके बाद के कुछ उपकरणों के लिए, Google Play सिस्टम अपडेट में एक दिनांक स्ट्रिंग होगी जो 2021-11-01 सुरक्षा पैच स्तर से मेल खाती है। सुरक्षा अद्यतन स्थापित करने के तरीके के बारे में अधिक जानकारी के लिए कृपया यह आलेख देखें।

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं, ताकि Android भागीदारों के पास उन कमजोरियों के सबसेट को ठीक करने की सुविधा हो जो सभी Android उपकरणों में अधिक तेज़ी से समान हैं। Android भागीदारों को इस बुलेटिन में सभी समस्याओं को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • 2021-11-01 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से संबंधित सभी समस्याओं के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान शामिल होने चाहिए।
  • जो डिवाइस 2021-11-05 या इससे बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने चाहिए।
  • डिवाइस जो 2021-11-06 या नए के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने चाहिए।

भागीदारों को उन सभी समस्याओं के समाधान को बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे एक ही अद्यतन में संबोधित कर रहे हैं।

3. टाइप कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियां सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षेपाक्षर परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उन्नयन
पहचान जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन/ए वर्गीकरण उपलब्ध नहीं है

4. सन्दर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
क्यूसी- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या
यू के आकार UNISOC संदर्भ संख्या

5. संदर्भ कॉलम में Android बग आईडी के आगे * का क्या अर्थ है?

जो समस्याएं सार्वजनिक रूप से उपलब्ध नहीं हैं उनमें संबंधित संदर्भ आईडी के आगे एक * होता है। उस समस्या के लिए अद्यतन आम तौर पर Google डेवलपर साइट से उपलब्ध पिक्सेल उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

6. सुरक्षा कमजोरियों को इस बुलेटिन और डिवाइस/पार्टनर सुरक्षा बुलेटिन, जैसे कि Pixel बुलेटिन के बीच क्यों विभाजित किया गया है?

इस सुरक्षा बुलेटिन में प्रलेखित सुरक्षा भेद्यताएं Android उपकरणों पर नवीनतम सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक हैं। सुरक्षा पैच स्तर घोषित करने के लिए डिवाइस/पार्टनर सुरक्षा बुलेटिन में प्रलेखित अतिरिक्त सुरक्षा भेद्यताएं आवश्यक नहीं हैं। Android डिवाइस और चिपसेट निर्माता Google , Huawei , LGE , Motorola , Nokia या Samsung जैसे अपने उत्पादों के लिए विशिष्ट सुरक्षा भेद्यता विवरण भी प्रकाशित कर सकते हैं।

संस्करणों

संस्करण दिनांक टिप्पणियाँ
1.0 1 नवंबर, 2021 बुलेटिन का विमोचन
1.1 2 नवंबर, 2021 AOSP लिंक्स को शामिल करने के लिए संशोधित बुलेटिन
1.2 3 दिसंबर 2021 संशोधित सीवीई तालिका