हमारा सुझाव है कि 27 मार्च, 2025 से AOSP को बनाने और उसमें योगदान देने के लिए, aosp-main के बजाय android-latest-release का इस्तेमाल करें. ज़्यादा जानकारी के लिए, AOSP में हुए बदलाव लेख पढ़ें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

Android सुरक्षा बुलेटिन—मार्च 2022
संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

पब्लिश करने की तारीख: 7 मार्च, 2022 | अपडेट करने की तारीख: 5 अप्रैल, 2022

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-03-2022 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

Android पार्टनर को सभी समस्याओं की सूचना, पब्लिकेशन से कम से कम एक महीने पहले दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ किए गए हैं. साथ ही, इन्हें इस बुलेटिन से लिंक किया गया है. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, रिमोट से ऐक्सेस लेवल को बढ़ाया जा सकता है. इसके लिए, प्रोग्राम चलाने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. गंभीरता का आकलन इस बात पर आधारित होता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने वाली सुविधाएं बंद हैं या नहीं या उन्हें बाईपास कर दिया गया है.

Android और Google Play Protect के ज़रिए, खतरों को कम करने वाले सेक्शन में जाकर, Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में जानें. इनसे Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.

Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना

इस टेबल में, Android सुरक्षा प्लैटफ़ॉर्म और सेवाओं को सुरक्षित रखने वाली सुविधाओं, जैसे कि Google Play Protect से जुड़ी सुरक्षा से जुड़ी जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं.

01-03-2022 के सुरक्षा पैच लेवल से जुड़ी समस्या की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-03-2022 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.

Android रनटाइम

इस सेक्शन में मौजूद जोखिम की वजह से, सिस्टम को चलाने की अनुमतियों के साथ, स्थानीय स्तर पर विशेषाधिकार बढ़ सकते हैं.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2021-39689	A-206090748	EoP	काफ़ी हद तक ठीक है	12

फ़्रेमवर्क

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, उपयोगकर्ता के पास स्थानीय स्तर पर अनुमति बढ़ सकती है. इसके लिए, उपयोगकर्ता के पास प्रोग्राम चलाने की अनुमतियां होनी चाहिए.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2021-39692	A-209611539	EoP	ज़्यादा	10, 11, 12
CVE-2021-39693	A-208662370	EoP	ज़्यादा	12
CVE-2021-39695	A-209607944	EoP	ज़्यादा	11
CVE-2021-39697	A-200813547 [2]	EoP	ज़्यादा	11, 12
CVE-2021-39690	A-204316511	डीओएस	ज़्यादा	12

मीडिया फ़्रेमवर्क

इस सेक्शन में मौजूद जोखिम की वजह से, रिमोट से जानकारी को ज़ाहिर किया जा सकता है. इसके लिए, किसी अतिरिक्त अनुमति की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2021-39667	A-205702093	आईडी	ज़्यादा	10, 11, 12

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से विशेषाधिकार बढ़ाए जा सकते हैं. इसके लिए, अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2021-39708	A-206128341	EoP	सबसे अहम	12
CVE-2021-0957	A-193149550	EoP	ज़्यादा	10, 11, 12
CVE-2021-39701	A-212286849	EoP	ज़्यादा	11, 12
CVE-2021-39702	A-205150380	EoP	ज़्यादा	12
CVE-2021-39703	A-207057578	EoP	ज़्यादा	12
CVE-2021-39704	A-209965481	EoP	ज़्यादा	10, 11, 12
CVE-2021-39706	A-200164168 [2]	EoP	ज़्यादा	10, 11, 12
CVE-2021-39707	A-200688991	EoP	ज़्यादा	10, 11, 12
CVE-2021-39709	A-208817618	EoP	ज़्यादा	12

Google Play के सिस्टम अपडेट

Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

कॉम्पोनेंट	CVE
मीडिया कोडेक	CVE-2021-39667

05-03-2022 के सुरक्षा पैच लेवल की समस्या की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 05-03-2022 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

फ़्रेमवर्क

इस सेक्शन में मौजूद जोखिम की वजह से, स्थानीय स्तर पर विशेषाधिकार बढ़ सकते हैं. इसके लिए, अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2021-39694	A-202312327	EoP	ज़्यादा	12

Kernel कॉम्पोनेंट

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	कॉम्पोनेंट
CVE-2020-29368	A-174738029 अपस्ट्रीम कर्नेल	EoP	ज़्यादा	Kernel Memory Management
CVE-2021-39685	A-210292376 अपस्ट्रीम कर्नेल [2] [3]	EoP	ज़्यादा	Linux
CVE-2021-39686	A-200688826 अपस्ट्रीम कर्नेल [2] [3] [4]	EoP	ज़्यादा	बाइंडर
CVE-2021-39698	A-185125206 अपस्ट्रीम कर्नेल [2] [3] [4] [5]	EoP	ज़्यादा	कर्नेल
CVE-2021-3655	A-197154735 अपस्ट्रीम कर्नेल [2] [3] [4]	आईडी	ज़्यादा	एससीटीपी

MediaTek के कॉम्पोनेंट

इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे MediaTek करता है.

CVE	रेफ़रंस	गंभीरता	कॉम्पोनेंट
CVE-2022-20047	A-213120685 M-ALPS05917489*	ज़्यादा	वीडियो डीकोडर
CVE-2022-20048	A-213116796 M-ALPS05917502*	ज़्यादा	वीडियो डीकोडर
CVE-2022-20053	A-213120689 M-ALPS06219097*	ज़्यादा	ims service

Qualcomm के कॉम्पोनेंट

इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	कॉम्पोनेंट
CVE-2021-35088	A-204905738 QC-CR#3007473	ज़्यादा	वाई-फ़ाई
CVE-2021-35103	A-209481110 QC-CR#3033509	ज़्यादा	वाई-फ़ाई
CVE-2021-35105	A-209469958 QC-CR#3034743 [2]	ज़्यादा	डिसप्ले
CVE-2021-35106	A-209481028 QC-CR#3035196 [2]	ज़्यादा	वाई-फ़ाई
CVE-2021-35117	A-209481202 QC-CR#3028360	ज़्यादा	वाई-फ़ाई

Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट

इन कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	कॉम्पोनेंट
CVE-2021-1942	A-199191104*	सबसे अहम	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-35110	A-209469768*	सबसे अहम	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-1950	A-199191539*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-30328	A-199191341*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-30329	A-199191831*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-30332	A-199190643*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2021-30333	A-199191889*	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट

Google Play के सिस्टम अपडेट

Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

कॉम्पोनेंट	CVE
अनुमति कंट्रोलर	CVE-2021-39694

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

01-03-2022 या उसके बाद के सुरक्षा पैच के लेवल, 01-03-2022 के सुरक्षा पैच के लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
05-03-2022 या उसके बाद के सिक्योरिटी पैच लेवल, 05-03-2022 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:

[ro.build.version.security_patch]:[2022-03-01]
[ro.build.version.security_patch]:[2022-03-05]

Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-03-2022 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?

इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के सबसे नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

जिन डिवाइसों में 01-03-2022 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
जिन डिवाइसों में 05-03-2022 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए, सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.

संक्षेपण	परिभाषा
आरसीई	रिमोट कोड को चलाना
EoP	प्रिविलेज एस्कलेशन
आईडी	जानकारी ज़ाहिर करना
डीओएस	सेवा में रुकावट
लागू नहीं	क्लासिफ़िकेशन उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.

प्रीफ़िक्स	रेफ़रंस
A-	Android गड़बड़ी का आईडी
QC-	Qualcomm का रेफ़रंस नंबर
M-	MediaTek का रेफ़रंस नंबर
N-	NVIDIA का रेफ़रंस नंबर
B-	Broadcom का रेफ़रंस नंबर
U-	UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से मिलते हैं.

6. सुरक्षा से जुड़ी समस्याओं को इस सूचना और डिवाइस / पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel सूचना के बीच क्यों बांटा जाता है?

इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर सुरक्षा पैच का नया लेवल तय किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस या पार्टनर के सुरक्षा बुलेटिन में बताई गई अतिरिक्त सुरक्षा से जुड़ी कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन	तारीख	नोट
1.0	7 मार्च, 2022	बुलेटिन रिलीज़ किया गया
1.1	8 मार्च, 2022	AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया
1.2	5 अप्रैल, 2022	बदली गई सीवीई टेबल