हमारा सुझाव है कि 27 मार्च, 2025 से AOSP को बनाने और उसमें योगदान देने के लिए, aosp-main के बजाय android-latest-release का इस्तेमाल करें. ज़्यादा जानकारी के लिए, AOSP में हुए बदलाव लेख पढ़ें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

Android सुरक्षा बुलेटिन, जनवरी 2025
संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

पब्लिश करने की तारीख: 6 जनवरी, 2025 | अपडेट करने की तारीख: 6 फ़रवरी, 2025

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी कमजोरियों की जानकारी होती है. सुरक्षा पैच के लेवल 05-01-2025 या उसके बाद के वर्शन में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और अपडेट करना लेख पढ़ें.

Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए जाएंगे. AOSP के लिंक उपलब्ध होने पर, हम इस सूचना में बदलाव करेंगे.

इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में मौजूद सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, रिमोट (प्रॉक्सिमल/आस-पास) कोड को बिना किसी अतिरिक्त अनुमति के चलाया जा सकता है. गंभीरता का आकलन, इस बात पर आधारित होता है कि किसी डिवाइस में मौजूद कमजोरी का इस्तेमाल करने से, उस डिवाइस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमजोरियों से बचाने के लिए बनी सुविधाएं बंद हैं या नहीं या फिर उन्हें बाईपास किया जा चुका है.

Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा से जुड़ी समस्याओं को हल करने के तरीके सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा बेहतर होती है.

Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना

इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सेवा सुरक्षा से जुड़ी सुविधाओं से, इस तरह के हमलों को कम करने के तरीकों के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, Android के नए वर्शन पर अपडेट करें.
Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर लगातार नज़र रखती है. साथ ही, नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.

01-01-2025 के सुरक्षा पैच लेवल की समस्या की जानकारी

नीचे दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस समस्या के बारे में जानकारी देते हैं जो 01-01-2025 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद के नंबर से लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों पर, सुरक्षा अपडेट के साथ-साथ Google Play के सिस्टम अपडेट भी मिल सकते हैं.

Framework

इस सेक्शन में सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

Framework

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर विशेषाधिकार बढ़ सकते हैं. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2024-49724	A-369351375	EoP	ज़्यादा	12, 12L, 13, 14, 15
CVE-2024-49732	A-371975420	EoP	ज़्यादा	15
CVE-2024-49735	A-345881518	EoP	ज़्यादा	15
CVE-2024-49737	A-369103643	EoP	ज़्यादा	13, 14, 15
CVE-2024-49738	A-370840874	EoP	ज़्यादा	12, 12L, 13, 14, 15
CVE-2024-49744	A-360846772	EoP	ज़्यादा	12, 12L, 13, 14, 15
CVE-2024-49745	A-370831157	EoP	ज़्यादा	12, 12L, 13, 14, 15
CVE-2024-49733	A-365738306	ID	ज़्यादा	12, 12L, 13, 14, 15

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट (प्रॉक्सिमल/आस-पास) कोड प्रोग्राम चलाया जा सकता है. इसके लिए, कोड चलाने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2024-43096	A-323850943	आरसीई	सबसे अहम	12, 12L, 13, 14, 15
CVE-2024-43770	A-364026473	आरसीई	सबसे अहम	12, 12L, 13, 14, 15
CVE-2024-43771	A-364027949	आरसीई	सबसे अहम	12, 12L, 13, 14, 15
CVE-2024-49747	A-364027038	आरसीई	सबसे अहम	12, 12L, 13, 14, 15
CVE-2024-49748	A-364025411	आरसीई	सबसे अहम	12, 12L, 13, 14, 15
CVE-2024-49749	A-355461643	आरसीई	ज़्यादा	12, 12L, 13, 14, 15
CVE-2024-34722	A-251514170 [2]	EoP	ज़्यादा	12, 12L, 13, 14
CVE-2024-34730	A-308429049	EoP	ज़्यादा	12, 12L, 13, 14
CVE-2024-43095	A-340480881	EoP	ज़्यादा	12, 12L, 13, 14, 15
CVE-2024-43765	A-233605527	EoP	ज़्यादा	12, 12L, 13, 14, 15
CVE-2024-49742	A-363248394	EoP	ज़्यादा	12, 12L, 13, 14, 15
CVE-2024-49734	A-193031925 [2] [3] [4] [5] [6] [7] [8]	ID	ज़्यादा	14, 15
CVE-2024-43763	A-356886209	डीओएस	ज़्यादा	12, 12L, 13, 14, 15
CVE-2024-49736	A-316578327	डीओएस	ज़्यादा	12, 12L, 13, 14

Google Play के सिस्टम अपडेट

Project Mainline के कॉम्पोनेंट में ये समस्याएं शामिल हैं.

सब-कॉम्पोनेंट	CVE
Documents का यूज़र इंटरफ़ेस (यूआई)	CVE-2024-43765
अनुमति कंट्रोलर	CVE-2024-43095

05-01-2025 के सुरक्षा पैच लेवल की समस्या की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमज़ोरियों के बारे में जानकारी देते हैं जो 05-01-2025 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में नीचे दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद के नंबर से लिंक किए जाते हैं.

Imagination Technologies

इस समस्या का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इस बारे में ज़्यादा जानकारी, सीधे Imagination Technologies से ली जा सकती है. इस समस्या की गंभीरता का आकलन, सीधे Imagination Technologies करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-43704	A-363073314 *	ज़्यादा	PowerVR-GPU

MediaTek के कॉम्पोनेंट

इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर MediaTek करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-20154	A-376809176 M-MOLY00720348 *	सबसे अहम	मॉडम
CVE-2024-20146	A-376814209 M-ALPS09137491 *	ज़्यादा	wlan
CVE-2024-20148	A-376814212 M-ALPS09136494 *	ज़्यादा	wlan
CVE-2024-20105	A-376821905 M-ALPS09062027 *	ज़्यादा	m4u
CVE-2024-20140	A-376816308 M-ALPS09270402 *	ज़्यादा	power
CVE-2024-20143	A-376814208 M-ALPS09167056 *	ज़्यादा	डीए
CVE-2024-20144	A-376816309 M-ALPS09167056 *	ज़्यादा	डीए
CVE-2024-20145	A-376816311 M-ALPS09290940 *	ज़्यादा	डीए

Qualcomm के कॉम्पोनेंट

इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा से जुड़े ब्यौरे या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	सब-कॉम्पोनेंट
CVE-2024-21464	A-350500921 QC-CR#3445828	ज़्यादा	कर्नेल
CVE-2024-45553	A-372003017 QC-CR#3845043 [2]	ज़्यादा	कर्नेल
CVE-2024-45558	A-372002616 QC-CR#3852338	ज़्यादा	वाई-फ़ाई

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपना Android वर्शन देखना और अपडेट करना लेख पढ़ें.

01-01-2025 या उसके बाद के सिक्योरिटी पैच लेवल, 01-01-2025 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
05-01-2025 या उसके बाद के सिक्योरिटी पैच लेवल, 05-01-2025 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:

[ro.build.version.security_patch]:[2025-01-01]
[ro.build.version.security_patch]:[2025-01-05]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-01-2025 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?

इस बुलेटिन में दो सिक्योरिटी पैच लेवल हैं, ताकि Android के पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android के पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के सबसे नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

जिन डिवाइसों में 01-01-2025 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
जिन डिवाइसों में 05-01-2025 या इससे नए सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं के लिए ठीक करने के तरीके को बंडल करें जिनका वे समाधान कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.

संक्षेपण	परिभाषा
आरसीई	रिमोट कोड को चलाना
EoP	प्रिविलेज एस्कलेशन
ID	जानकारी ज़ाहिर करना
डीओएस	सेवा में रुकावट
लागू नहीं	कैटगरी उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.

प्रीफ़िक्स	रेफ़रंस
A-	Android गड़बड़ी का आईडी
QC-	Qualcomm का रेफ़रंस नंबर
M-	MediaTek का रेफ़रंस नंबर
N-	NVIDIA का रेफ़रंस नंबर
B-	Broadcom का रेफ़रंस नंबर
U-	UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

सार्वजनिक तौर पर उपलब्ध न होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए उपलब्ध नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google Developer साइट पर मिलते हैं.

6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को, इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel के सुरक्षा बुलेटिन के बीच क्यों बांटा जाता है?

इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी जोखिमियों के लिए, Android डिवाइसों पर सबसे नए सिक्योरिटी पैच लेवल का एलान करना ज़रूरी है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस / पार्टनर के सुरक्षा ब्यौरे में बताई गई, सुरक्षा से जुड़ी अन्य कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन	तारीख	नोट
1.0	6 जनवरी, 2025	बुलेटिन पब्लिश किया गया
1.1	6 फ़रवरी, 2025	CVE लिंक शामिल करने के लिए बदलाव किया गया