Android का सुरक्षा बुलेटिन—मार्च 2024

पब्लिश करने की तारीख: 4 मार्च, 2024 | अपडेट होने की तारीख: 29 जुलाई, 2024

Android सुरक्षा बुलेटिन में सुरक्षा से जुड़े जोखिमों की जानकारी दी जाती है इसका असर Android डिवाइसों पर पड़ रहा है. के सिक्योरिटी पैच लेवल 05-03-2024 या उसके बाद की तारीख, इन सभी समस्याओं को ठीक करने के लिए है. किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, यहां देखें अपने डिवाइस का Android वर्शन देखें और उसे अपडेट करें.

Android पार्टनर को सभी समस्याओं की सूचना कम से कम एक महीने पहले दे दी जाती है पब्लिकेशन. इन समस्याओं के लिए सोर्स कोड पैच, Android Open में रिलीज़ कर दिए गए हैं सोर्स प्रोजेक्ट (AOSP) का डेटा स्टोर करने की जगह और इस बुलेटिन से लिंक किया गया है. यह बुलेटिन इसमें AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इन समस्याओं में सबसे गंभीर है, ऐसा सिस्टम कॉम्पोनेंट जिसकी वजह से, रिमोट कोड को एक्ज़ीक्यूट किया जा सकता है. इसके लिए, कोई अतिरिक्त कोड जोड़ने की ज़रूरत नहीं होती प्रोग्राम चलाने के लिए खास अधिकार ज़रूरी हैं. गंभीरता का आकलन, इस जोखिम का फ़ायदा, किसी ऐसे डिवाइस पर पड़ सकता है जिस पर इस समस्या का असर पड़ा हो, यह मानते हुए कि डेवलपमेंट के लिए प्लैटफ़ॉर्म और सेवा में होने वाले बदलावों को बंद कर दिया गया है बायपास किया जा सकता है या उन्हें बायपास किया जा सकता है.

Android और Google Play Protect के बारे में जानें कम करने से जुड़ी जानकारी सेक्शन में दी गई है Android सिक्योरिटी प्लैटफ़ॉर्म सुरक्षा के उपाय और Google Play Protect, जो Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाता है.

Android और Google की सेवा खतरों को कम करना

यहां उन खतरों के बारे में खास जानकारी दी गई है जिन्हें Android सिक्योरिटी प्लैटफ़ॉर्म साथ ही, सेवा की सुरक्षा से जुड़ी खास जानकारी Google Play Protect. इन क्षमताओं की वजह से, यह संभावना होती है कि Android पर, सुरक्षा से जुड़े जोखिमों का फ़ायदा उठाया जा सकता है.

  • Android पर कई समस्याओं के लिए, गलत जानकारी खोजना और मुश्किल हो गया है: Android प्लैटफ़ॉर्म के नए वर्शन को बेहतर बनाया है. हम सभी को प्रोत्साहित करते हैं लोग अपडेट करने की कोशिश करें.
  • Android सुरक्षा टीम, नीति के उल्लंघन पर लगातार नज़र रखती है. इसके लिए, Google Play सुरक्षित रखना और उपयोगकर्ताओं को इसके बारे में चेतावनी देना संभावित रूप से नुकसान पहुंचाने वाले ऐप्लिकेशन. Google Play Protect, डिफ़ॉल्ट रूप से चालू रहता है डिवाइस Google के साथ मोबाइल सेवाएं मुहैया कराई हैं. खास तौर पर, यह उन लोगों के लिए अहम है जो इनसे ऐप्लिकेशन इंस्टॉल करते हैं Google Play से बाहर रखी गई हैं.

01-03-2024 सिक्योरिटी पैच लेवल के जोखिम की आशंका से जुड़ी जानकारी

नीचे दिए गए सेक्शन में, हमने हर सुरक्षा के बारे में जानकारी दी है जो 2024-03-01 पैच लेवल पर लागू होते हैं. जोखिमों को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर वे असर डालते हैं. समस्याओं के बारे में नीचे टेबल में बताया गया है. इनमें सीवीई आईडी शामिल है रेफ़रंस, किस तरह के जोखिम की आशंका है, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) भी उपलब्ध हैं. उपलब्ध होने पर, हम समस्या का समाधान करने वाले सार्वजनिक बदलाव को गड़बड़ी का आईडी, जैसे कि एओएसपी बदलाव सूची. जब किसी एक बग की वजह से कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस से लिंक किया गया है. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट भी मिल सकते हैं Google चलाएं सिस्टम अपडेट होते हैं.

फ़्रेमवर्क

इस सेक्शन में सबसे गंभीर जोखिम की आशंका की वजह से स्थानीय स्तर पर समस्या की सूचना दी जा सकती है के लिए लाइसेंस की ज़रूरत नहीं है.

सीवीई रेफ़रंस टाइप गंभीरता अपडेट किए गए AOSP वर्शन
CVE-2024-0046 ए-299441833 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-0048 A-316893159 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-0049 ए-273936274 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-0050 ए-273935108 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-0051 ए-276442130 ईओपी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-0053 ए-281525042 आईडी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-0047 ए-311687929 [2] [3] डीओएस ज़्यादा 14

सिस्टम

इस सेक्शन में सबसे गंभीर जोखिम की आशंका, रिमोट कोड की वजह से हो सकती है निष्पादन के लिए किसी अतिरिक्त विशेष सुविधा की आवश्यकता नहीं है.

सीवीई रेफ़रंस टाइप गंभीरता अपडेट किए गए AOSP वर्शन
CVE-2024-0039 ए-295887535 [2] [3] आरसीई सबसे अहम सिद्धांत 12, 12 ली॰, 13, 14
CVE-2024-23717 ए-318374503 ईओपी सबसे अहम सिद्धांत 12, 12 ली॰, 13, 14
CVE-2023-40081 ए-284297452 आईडी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-0045 A-300903400 आईडी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-0052 A-303871379 आईडी ज़्यादा 14

Google Play के सिस्टम अपडेट

Google Play के सिस्टम अपडेट में सुरक्षा से जुड़ी किसी भी समस्या को हल नहीं किया गया है (प्रोजेक्ट Mainline) के लिए इस महीने.

05-03-2024 सिक्योरिटी पैच लेवल के जोखिम की आशंका से जुड़ी जानकारी

नीचे दिए गए सेक्शन में, हमने हर सुरक्षा के बारे में जानकारी दी है जो 2024-03-05 पैच लेवल पर लागू होते हैं. जोखिमों को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर वे असर डालते हैं. समस्याओं के बारे में नीचे टेबल में बताया गया है. इनमें सीवीई आईडी शामिल है रेफ़रंस, किस तरह के जोखिम की आशंका है, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) भी उपलब्ध हैं. उपलब्ध होने पर, हम समस्या का समाधान करने वाले सार्वजनिक बदलाव को गड़बड़ी का आईडी, जैसे कि एओएसपी बदलाव सूची. जब किसी एक बग की वजह से कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस से लिंक किया गया है.

एएमलॉजिक

ये जोखिम, AMLogic कॉम्पोनेंट पर असर डालते हैं. साथ ही, ज़्यादा जानकारी के लिए यह सीधे AMLogic से उपलब्ध है. इन समस्याओं की गंभीरता का आकलन, AMLogic के ज़रिए किया जाता है.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
सीवीई-2023-48424
ए-315373062 * ज़्यादा बूटलोडर
सीवीई-2023-48425
A-319132171 * ज़्यादा बूटलोडर

कॉम्पोनेंट को ग्रुप में बांटना

इन जोखिमों से, आर्म कॉम्पोनेंट पर असर पड़ता है. साथ ही, ज़्यादा जानकारी उपलब्ध है सीधे आर्म से. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर आर्म के ज़रिए दिया जाता है.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
CVE-2023-6143
ए-316197619 * ज़्यादा माली
CVE-2023-6241
ए-316206835 * ज़्यादा माली

MediaTek कॉम्पोनेंट

इन जोखिमों से MediaTek कॉम्पोनेंट पर असर पड़ सकता है. साथ ही, ज़्यादा जानकारी के लिए यह सुविधा सीधे MediaTek से उपलब्ध है. इन समस्याओं की गंभीरता का आकलन MediaTek की ओर से उपलब्ध कराया जाता है.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
सीवीई-2024-20005
A-318303317
एम-एलपीएस08355599 *
ज़्यादा da
सीवीई-2024-20022
A-318302377
एम-ALPS08528255 *
ज़्यादा एल्बम
सीवीई-2024-20023
A-318302378
एम-ALPS08541638 *
ज़्यादा Flashc
सीवीई-2024-20024
A-318316114
एम-एलपीएस08541635 *
ज़्यादा Flashc
सीवीई-2024-20025
A-318316115
एम-ALPS08541686 *
ज़्यादा da
सीवीई-2024-20027
A-318316117
एम-ALPS08541632 *
ज़्यादा da
सीवीई-2024-20028
A-318310276
एम-ALPS08541632 *
ज़्यादा da
CVE-2024-20020
A-318302372
एम-एलपीएस08522504 *
ज़्यादा ऑप्टिमाइज़
सीवीई-2024-20026
A-318310274
एम-ALPS08541632 *
ज़्यादा da

Qualcomm के कॉम्पोनेंट

इन जोखिमों से Qualcomm के कॉम्पोनेंट पर असर पड़ता है. इनके बारे में आगे बताया गया है उचित Qualcomm सुरक्षा बुलेटिन या सुरक्षा चेतावनी में पूरी जानकारी दी गई हो. इन समस्याओं की गंभीरता का आकलन, सीधे Qualcomm के ज़रिए किया जाता है.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
CVE-2023-43546
A-314790498
क्यूसी-सीआर#3602482
ज़्यादा सुरक्षा
CVE-2023-43547
A-314791076
क्यूसी-सीआर#3602462 [2]
ज़्यादा सुरक्षा
CVE-2023-43550
ए-314791623
क्यूसी-सीआर#3595842
ज़्यादा कर्नेल
CVE-2023-43552
ए-314791054
QC-CR#3583521
ज़्यादा डब्ल्यूलैन
CVE-2023-43553
A-314791341
QC-CR#3580821
ज़्यादा डब्ल्यूलैन

Qualcomm क्लोज़्ड-सोर्स कॉम्पोनेंट

इन जोखिमों की वजह से, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर असर पड़ता है और जिसके बारे में Qualcomm के सुरक्षा बुलेटिन में ज़्यादा जानकारी दी गई हो या सुरक्षा से जुड़ी चेतावनी. इन समस्याओं की गंभीरता का आकलन, सीधे Qualcomm के ज़रिए किया जाता है.

सीवीई रेफ़रंस गंभीरता सबकॉम्पोनेंट
सीवीई-2023-28578
A-285902353 * सबसे अहम सिद्धांत क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-33042
A-295039320 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-33066
A-303101493 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-33105
A-314790953 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-43539
A-314791241 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-43548
A-314790932 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2023-43549
ए-314791266 * ज़्यादा क्लोज़्ड सोर्स कॉम्पोनेंट

अक्सर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, उन आम सवालों के जवाब दिए गए हैं जो इसे पढ़ने के बाद दिख सकते हैं बुलेटिन.

1. मैं कैसे पता करूं कि मेरा डिवाइस इन सुविधाओं के हिसाब से अपडेट है या नहीं समस्याएं हैं?

किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, यहां देखें अपने डिवाइस का Android वर्शन देखें और उसे अपडेट करें.

  • 01-03-2024 या इसके बाद के पते के सिक्योरिटी पैच लेवल 01-03-2024 सिक्योरिटी पैच से जुड़ी सभी समस्याएं लेवल.
  • 05-03-2024 या इसके बाद के पते के सिक्योरिटी पैच लेवल 05-03-2024 सिक्योरिटी पैच से जुड़ी सभी समस्याएं और पिछले सभी पैच लेवल जोड़े जा सकते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग सेट करनी चाहिए एक लेवल से दूसरे लेवल पर ले जाएं:

  • [ro.build.version.security_patch]:[01-03-2024]
  • [ro.build.version.security_patch]:[05-03-2024]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play का सिस्टम अपडेट इसमें तारीख की ऐसी स्ट्रिंग होगी जो 01-03-2024 से मिलती-जुलती होगी सुरक्षा पैच लेवल है. रिपोर्ट पाने के तरीकों के बारे में ज़्यादा जानने के लिए, कृपया यह लेख देखें सुरक्षा अपडेट इंस्टॉल करने के लिए किया जा सकता है.

2. इस बुलेटिन में दो सुरक्षा पैच लेवल क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच लेवल हैं, ताकि Android पार्टनर के पास यह सभी तरह के जोखिमों के सबसेट को ठीक करने की सुविधा इससे ज़्यादा तेज़ी से Android डिवाइस इस्तेमाल किए जा सकते हैं. Android पार्टनर को सभी समस्याएं और सबसे नए सुरक्षा पैच लेवल का इस्तेमाल करें.

  • वे डिवाइस जिनमें 01-03-2024 का सिक्योरिटी पैच लेवल इस्तेमाल किया गया है इसमें उस सुरक्षा पैच लेवल से जुड़ी सभी समस्याएं भी शामिल होनी चाहिए जैसे पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं को ठीक किया गया है.
  • वे डिवाइस जो 05-03-2024 के सुरक्षा पैच लेवल का इस्तेमाल करते हैं या नए वर्शन में इस (और पिछली) सुरक्षा में लागू होने वाले सभी पैच शामिल होने चाहिए बुलेटिन.

पार्टनर को सलाह दी जाती है कि वे अपनी सभी समस्याओं को एक साथ ठीक कर लें समस्या को हल करने में मदद मिलती है.

3. टाइप कॉलम में दी गई एंट्री का क्या मतलब है?

जोखिम की आशंका की जानकारी वाली टेबल के टाइप कॉलम में एंट्री में सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताया गया हो.

संक्षेपण परिभाषा
आरसीई रिमोट कोड इस्तेमाल करना
ईओपी खास अधिकारों से जुड़ी शर्तें
आईडी जानकारी ज़ाहिर करना
डीओएस सेवा अस्वीकार की गई
लागू नहीं वर्गीकरण उपलब्ध नहीं है

4. रेफ़रंस कॉलम में दी गई जानकारी का क्या मतलब है?

जोखिम की आशंका की जानकारी के रेफ़रंस कॉलम में मौजूद एंट्री तालिका में उस संगठन की पहचान करने वाला कोई उपसर्ग हो सकता है, जिससे रेफ़रंस मान संबंधित है.

प्रीफ़िक्स रेफ़रंस
A- Android बग आईडी
क्यूसी- Qualcomm रेफ़रंस नंबर
पु॰- MediaTek रेफ़रंस नंबर
नहीं- NVIDIA का रेफ़रंस नंबर
B- ब्रॉडकॉम रेफ़रंस नंबर
यू- UNISOC रेफ़रंस नंबर

5. रेफ़रंस में, Android की गड़बड़ी के आईडी के बगल में मौजूद * क्या काम करता है कॉलम का मतलब क्या है?

जो समस्याएं सार्वजनिक तौर पर उपलब्ध नहीं हैं उनसे जुड़ी समस्याओं के आगे * लगा होगा रेफ़रंस आईडी चुनें. इस समस्या का अपडेट आम तौर पर सबसे नए Pixel डिवाइसों के लिए बाइनरी ड्राइवर, Google डेवलपर साइट.

6. इस बुलेटिन और रिपोर्ट के बीच, सुरक्षा से जुड़े जोखिम की आशंकाएं अलग-अलग क्यों हैं डिवाइस / पार्टनर सुरक्षा से जुड़े बुलेटिन, जैसे कि Pixel बुलेटिन?

इस सुरक्षा बुलेटिन में जिन सुरक्षा जोखिमों के बारे में बताया गया है, वे Android पर सबसे नए सिक्योरिटी पैच लेवल का एलान करना ज़रूरी है डिवाइस. सुरक्षा से जुड़े ऐसे अन्य जोखिम जिनकी जानकारी इनके लिए, डिवाइस / पार्टनर सुरक्षा से जुड़े बुलेटिन की ज़रूरत नहीं है सुरक्षा पैच लेवल के बारे में जानकारी दे रही हूँ. Android डिवाइस और चिपसेट बनाने वाली कंपनियां अपने प्रॉडक्ट के लिए, सुरक्षा से जुड़े जोखिम की आशंका की जानकारी भी पब्लिश कर सकते हैं, जैसे कि Google, हुआवे, एलजीई, Motorola, Nokia, या Samsung.

वर्शन

वर्शन तारीख नोट
1.0 4 मार्च, 2024 बुलेटिन प्रकाशित किया गया.
1.1 29 जुलाई, 2024 CVE टेबल अपडेट की गईं.