Android सुरक्षा बुलेटिन में, Android डिवाइसों को प्रभावित करने वाली सुरक्षा से जुड़ी कमज़ोरियों के बारे में जानकारी होती है. 05-11-2024 या उसके बाद के सुरक्षा पैच लेवल में, इन सभी समस्याओं को ठीक कर दिया गया है. किसी डिवाइस के सुरक्षा पैच का लेवल देखने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को सभी समस्याओं के बारे में, पब्लिश करने से कम से कम एक महीने पहले सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ कर दिए गए हैं. साथ ही, इस बुलेटिन में लिंक कर दिए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इन समस्याओं में सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ा एक बड़ा जोखिम है. इससे रिमोट कोड प्रोग्राम चलाया जा सकता है. इसके लिए, प्रोग्राम चलाने के अतिरिक्त अधिकारों की ज़रूरत नहीं होती. गंभीरता का आकलन इस आधार पर किया जाता है कि किसी कमज़ोरी का फ़ायदा उठाने से, प्रभावित डिवाइस पर क्या असर पड़ सकता है. इसमें यह माना जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमियों को कम करने की सुविधा बंद कर दी गई है या उन्हें सफलतापूर्वक बायपास कर दिया गया है.
Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं के बारे में जानने के लिए, इस सेक्शन पर जाएं. इसमें Android के सुरक्षा प्लैटफ़ॉर्म से जुड़ी सुरक्षा सुविधाओं और Google Play Protect के बारे में जानकारी दी गई है. इनसे Android प्लैटफ़ॉर्म की सुरक्षा बेहतर होती है.
Android और Google की सेवा से जुड़ी समस्याएं हल करने के तरीके
यहां Android के सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सुरक्षा सेवाओं से जुड़ी कमियों को दूर करने के बारे में खास जानकारी दी गई है. इन क्षमताओं की वजह से, Android पर सुरक्षा से जुड़ी कमज़ोरियों का फ़ायदा उठाए जाने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हम सभी उपयोगकर्ताओं को सलाह देते हैं कि वे Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह उन लोगों के लिए खास तौर पर ज़रूरी है जो Google Play के अलावा किसी और प्लैटफ़ॉर्म से ऐप्लिकेशन इंस्टॉल करते हैं.
2024-11-01 के सुरक्षा पैच लेवल की कमज़ोरी की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 2024-11-01 के पैच लेवल पर लागू होती हैं. कमज़ोरियों को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और AOSP के अपडेट किए गए वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलाव की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद वाले नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
Framework
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर विशेषाधिकारों में बढ़ोतरी हो सकती है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2024-40660 | A-347307756 [2] | EoP | ज़्यादा | 14, 15 |
| CVE-2024-43081 | A-341256043 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43085 | A-353712853 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43082 | A-296915959 | ID | ज़्यादा | 12, 12L |
| CVE-2024-43084 | A-281044385 | ID | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43086 | A-343440463 | ID | ज़्यादा | 12, 12L, 13, 14, 15 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट कोड प्रोग्राम चलाया जा सकता है. इसके लिए, प्रोग्राम चलाने के अतिरिक्त अधिकारों की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2024-43091 | A-344620577 | RCE | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-29779 | A-329701910 | EoP | ज़्यादा | 14 |
| CVE-2024-34719 | A-242996380 | EoP | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-40661 | A-308138085 | EoP | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-43080 | A-330722900 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43087 | A-353700779 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43088 | A-326057017 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43089 | A-304280682 | EoP | ज़्यादा | 12, 12L, 13, 14, 15 |
| CVE-2024-43090 | A-331180422 | ID | ज़्यादा | 12, 12L, 13, 14 |
| CVE-2024-43083 | A-348352288 | डीओएस | ज़्यादा | 12, 12L, 13, 14, 15 |
Google Play के सिस्टम अपडेट
प्रोजेक्ट मेनलाइन के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| सबकॉम्पोनेंट | CVE |
|---|---|
| MediaProvider | CVE-2024-43089 |
| अनुमति कंट्रोलर | CVE-2024-40661 |
| वाई-फ़ाई | CVE-2024-43083 |
05-11-2024 सुरक्षा पैच लेवल की कमज़ोरी की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 2024-11-05 के पैच लेवल पर लागू होती हैं. कमज़ोरियों को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और AOSP के अपडेट किए गए वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में किए गए बदलाव की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद वाले नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
कर्नेल
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर विशेषाधिकारों में बढ़ोतरी हो सकती है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2024-36978 |
A-349777785
अपस्ट्रीम कर्नेल [2] |
EoP | ज़्यादा | कुल |
| CVE-2024-46740 |
A-352520660
अपस्ट्रीम कर्नल [2] [3] [4] [5] [6] [7] [8] |
EoP | ज़्यादा | बाइंडर |
Kernel LTS
कर्नेल के इन वर्शन को अपडेट किया गया है. कर्नेल वर्शन के अपडेट, डिवाइस लॉन्च के समय Android OS के वर्शन पर निर्भर करते हैं.
| रेफ़रंस | Android का लॉन्च वर्शन | कर्नेल का लॉन्च वर्शन | अपडेट का कम से कम वर्शन |
|---|---|---|---|
| A-348473863 | 12 | 5.4 | 5.4.274 |
| A-348681334 | 12 | 4.19 | 4.19.312 |
इमैजिनेशन टेक्नोलॉजीज़
इन कमज़ोरियों का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, सीधे Imagination Technologies से पाई जा सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Imagination Technologies करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-34747 |
A-346643520 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-40671 |
A-355477536 * | ज़्यादा | PowerVR-GPU |
इमैजिनेशन टेक्नोलॉजीज़
इन कमज़ोरियों का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, सीधे Imagination Technologies से पाई जा सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Imagination Technologies करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2023-35659 |
A-350006107 * | ज़्यादा | PowerVR-GPU |
| CVE-2023-35686 |
A-350527097 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-23715 |
A-350530745 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-31337 |
A-337944529 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-34729 |
A-331437862 * | ज़्यादा | PowerVR-GPU |
MediaTek कॉम्पोनेंट
इन कमज़ोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे MediaTek से मिल सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-20104 |
A-363850556
M-ALPS09073261 * |
ज़्यादा | DA |
| CVE-2024-20106 |
A-363849996
M-ALPS08960505 * |
ज़्यादा | m4u |
Qualcomm कॉम्पोनेंट
ये कमज़ोरियां, Qualcomm के कॉम्पोनेंट को प्रभावित करती हैं. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी सूचना में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-21455 |
A-357616450
QC-CR#3839449 [2] QC-CR#3875202 [2] |
ज़्यादा | कर्नेल |
| CVE-2024-38402 |
A-364017423
QC-CR#3890158 |
ज़्यादा | कर्नेल |
| CVE-2024-38405 |
A-357615761
QC-CR#3754687 |
ज़्यादा | WLAN |
| CVE-2024-38415 |
A-357616194
QC-CR#3775520 [2] |
ज़्यादा | कैमरा |
| CVE-2024-38421 |
A-357616018
QC-CR#3793941 |
ज़्यादा | डिसप्ले |
| CVE-2024-38422 |
A-357616000
QC-CR#3794268 [2] [3] |
ज़्यादा | ऑडियो |
| CVE-2024-38423 |
A-357615775
QC-CR#3799033 |
ज़्यादा | डिसप्ले |
| CVE-2024-43047 |
A-364017103
QC-CR#3883647 |
ज़्यादा | कर्नेल |
Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट
इन कमज़ोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी सूचना में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-38408 |
A-357615875 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-23385 |
A-339043003 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-38403 |
A-357615948 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-38424 |
A-357616230 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद अक्सर पूछे जाने वाले सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच का लेवल देखने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.
- 01-11-2024 या उसके बाद के सुरक्षा पैच लेवल में, 01-11-2024 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
- 05-11-2024 या उसके बाद के सुरक्षा पैच लेवल में, 05-11-2024 के सुरक्षा पैच लेवल और पिछले सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
डिवाइस बनाने वाली कंपनियों को, इन अपडेट को शामिल करने के लिए पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2024-11-01]
- [ro.build.version.security_patch]:[2024-11-05]
Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play सिस्टम अपडेट में तारीख की ऐसी स्ट्रिंग होगी जो 2024-11-01 के सुरक्षा पैच लेवल से मेल खाती हो. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस बुलेटिन में सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल दिए गए हैं, ताकि Android पार्टनर को सभी Android डिवाइसों में मौजूद मिलती-जुलती कमियों को ठीक करने में आसानी हो. Android पार्टनर को इस बुलेटिन में दी गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 2024-11-01 का सिक्योरिटी पैच लेवल इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं के समाधान भी शामिल होने चाहिए.
- जिन डिवाइसों में 2024-11-05 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस (और पिछले) सुरक्षा बुलेटिन में बताए गए सभी ज़रूरी पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करें जिन पर वे काम कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
सुरक्षा से जुड़ी कमज़ोरी की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़ी कमज़ोरी के क्लासिफ़िकेशन का रेफ़रंस देती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| RCE | रिमोट कोड एक्ज़ीक्यूशन |
| EoP | खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल |
| ID | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | कैटगरी की जानकारी उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
कमज़ोरी की जानकारी देने वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में ऐसा प्रीफ़िक्स हो सकता है जिससे यह पता चलता है कि रेफ़रंस वैल्यू किस संगठन से जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
जिन समस्याओं की जानकारी सार्वजनिक तौर पर उपलब्ध नहीं है उनके रेफ़रंस आईडी के बगल में * का निशान होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए उपलब्ध नए बाइनरी ड्राइवर में शामिल होता है. ये ड्राइवर, Google की डेवलपर साइट पर उपलब्ध होते हैं.
6. सुरक्षा से जुड़ी समस्याओं को इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel बुलेटिन के बीच क्यों बांटा गया है?
इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी कमियों को ठीक करने के लिए, Android डिवाइसों पर सुरक्षा पैच का नया लेवल लागू करना ज़रूरी है. सुरक्षा पैच का लेवल तय करने के लिए, डिवाइस / पार्टनर के सुरक्षा बुलेटिन में मौजूद सुरक्षा से जुड़ी अन्य कमियों के बारे में जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमज़ोरियों की जानकारी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 4 नवंबर, 2024 | बुलेटिन पब्लिश किया गया. |