Android सुरक्षा बुलेटिन में, Android डिवाइसों को प्रभावित करने वाली सुरक्षा से जुड़ी कमज़ोरियों के बारे में जानकारी होती है. 05-04-2025 या उसके बाद के सुरक्षा पैच लेवल में, इन सभी समस्याओं को ठीक कर दिया गया है. किसी डिवाइस के सुरक्षा पैच का लेवल देखने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को सभी समस्याओं के बारे में, पब्लिश करने से कम से कम एक महीने पहले सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ किए जाएंगे. जब AOSP लिंक उपलब्ध होंगे, तब हम इस बुलेटिन को AOSP लिंक के साथ अपडेट करेंगे.
इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में मौजूद सुरक्षा से जुड़ी एक गंभीर समस्या है. इससे, बिना किसी अतिरिक्त अनुमति के, रिमोट तरीके से विशेषाधिकारों को बढ़ाया जा सकता है. इस गड़बड़ी का फ़ायदा उठाने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती. गंभीरता का आकलन इस आधार पर किया जाता है कि सुरक्षा से जुड़ी इस कमज़ोरी का फ़ायदा उठाने से, प्रभावित डिवाइस पर क्या असर पड़ सकता है. यह आकलन तब किया जाता है, जब डेवलपमेंट के लिए प्लैटफ़ॉर्म और सेवा से जुड़ी सुरक्षा कम करने वाली सुविधाओं को बंद कर दिया गया हो या उन्हें सफलतापूर्वक बायपास कर दिया गया हो.
Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं के बारे में जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं सेक्शन पर जाएं. इससे आपको Android के सुरक्षा प्लैटफ़ॉर्म से जुड़ी सुरक्षा सुविधाओं और Google Play Protect के बारे में जानकारी मिलेगी. ये दोनों सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.
Android और Google की सेवा से जुड़ी समस्याएं हल करने के तरीके
यह Android सुरक्षा प्लैटफ़ॉर्म और सेवा सुरक्षा से जुड़ी सुविधाओं की खास जानकारी है. जैसे, Google Play Protect. इन क्षमताओं की वजह से, Android पर सुरक्षा से जुड़ी कमज़ोरियों का फ़ायदा नहीं उठाया जा सकता.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हम सभी उपयोगकर्ताओं को सलाह देते हैं कि वे Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह उन लोगों के लिए खास तौर पर ज़रूरी है जो Google Play के अलावा किसी और प्लैटफ़ॉर्म से ऐप्लिकेशन इंस्टॉल करते हैं.
2025-04-01 के सुरक्षा पैच लेवल की कमज़ोरी की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 2025-04-01 के पैच लेवल पर लागू होती हैं. कमज़ोरियों को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP की बदलाव सूची. जब कई बदलाव किसी एक गड़बड़ी से जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद वाले नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
Framework
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर विशेषाधिकारों में बढ़ोतरी हो सकती है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती. इसका गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2025-22429 | A-373357090 | ID | सबसे अहम | 13, 14, 15 |
| CVE-2025-22416 | A-277207798 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22417 | A-332277530 | EoP | ज़्यादा | 14, 15 |
| CVE-2025-22422 | A-339532378 [2] | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22434 | A-378900798 | EoP | ज़्यादा | 14, 15 |
| CVE-2025-22437 | A-317203980 | EoP | ज़्यादा | 13 |
| CVE-2025-22438 | A-343129193 | EoP | ज़्यादा | 13, 14 |
| CVE-2025-22442 | A-382064697 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2024-49722 | A-341688848 [2] | ID | ज़्यादा | 15 |
| CVE-2025-22421 | A-338024220 | ID | ज़्यादा | 13, 14, 15 |
| CVE-2025-22430 | A-374257207 | ID | ज़्यादा | 15 |
| CVE-2025-22431 | A-375623125 | डीओएस | ज़्यादा | 13, 14, 15 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर कमज़ोरी की वजह से, रिमोट तरीके से विशेषाधिकारों को बढ़ाया जा सकता है. इसके लिए, किसी अतिरिक्त विशेषाधिकार की ज़रूरत नहीं होती. इसका गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2025-26416 | A-388480622 | EoP | सबसे अहम | 13, 14, 15 |
| CVE-2025-22423 | A-346797131 | डीओएस | सबसे अहम | 13, 14, 15 |
| CVE-2024-40653 | A-293458004 [2] [3] | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2024-49720 | A-355411348 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2024-49730 | A-284989074 | EoP | ज़्यादा | 13, 14 |
| CVE-2025-22418 | A-333344157 | EoP | ज़्यादा | 13, 14 |
| CVE-2025-22419 | A-335387175 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22427 | A-368579654 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22428 | A-372671447 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22433 | A-376674080 [2] | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22435 | A-273995284 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2025-22439 | A-352294617 | EoP | ज़्यादा | 13, 14, 15 |
| CVE-2024-49728 | A-296915500 | ID | ज़्यादा | 13, 14, 15 |
Google Play के सिस्टम अपडेट
प्रोजेक्ट मेनलाइन के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| सबकॉम्पोनेंट | CVE |
|---|---|
| Documents का यूज़र इंटरफ़ेस (यूआई) | CVE-2025-22439 |
| MediaProvider | CVE-2024-49730 |
| अनुमति कंट्रोलर | CVE-2024-49720 |
सुरक्षा पैच लेवल 2025-04-05 से जुड़ी कमज़ोरियों की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 2025-04-05 के पैच लेवल पर लागू होती हैं. कमज़ोरियों को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP की बदलाव सूची. जब कई बदलाव किसी एक गड़बड़ी से जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद वाले नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
कर्नेल
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर विशेषाधिकारों में बढ़ोतरी हो सकती है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती. इसका गलत इस्तेमाल करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2024-50264 | A-378870958
अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | कुल |
| CVE-2024-53197 | A-382243530
अपस्ट्रीम कर्नल [2] |
EoP | ज़्यादा | यूएसबी |
| CVE-2024-56556 | A-380855429
अपस्ट्रीम कर्नल [2] |
EoP | ज़्यादा | बाइंडर |
| CVE-2024-53150 | A-382239029
अपस्ट्रीम कर्नल [2] |
ID | ज़्यादा | यूएसबी |
ग्रुप के कॉम्पोनेंट
इस कमज़ोरी का असर Arm के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, सीधे Arm से मिल सकती है. इस समस्या की गंभीरता का आकलन, सीधे तौर पर Arm करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2025-0050 |
A-384996147 * | ज़्यादा | माली |
इमैजिनेशन टेक्नोलॉजीज़
इन कमज़ोरियों का असर Imagination Technologies के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, सीधे तौर पर Imagination Technologies से मिल सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Imagination Technologies करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-43702 |
A-363071287 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-43703 |
A-366410795 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-46972 |
A-374964509 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-47897 |
A-381272263 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-52936 |
A-380302155 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-52937 |
A-381273105 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-52938 |
A-380397760 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-47894 |
A-382770071 * | ज़्यादा | PowerVR-GPU |
| CVE-2024-47895 |
A-380296167 * | ज़्यादा | PowerVR-GPU |
MediaTek कॉम्पोनेंट
इन कमज़ोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे MediaTek से मिल सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2025-20656 |
A-393950961
M-ALPS09625423 * |
ज़्यादा | DA |
| CVE-2025-20657 |
A-393950963
M-ALPS09486425 * |
ज़्यादा | vdec |
| CVE-2025-20658 |
A-393950964
M-ALPS09474894 * |
ज़्यादा | DA |
| CVE-2025-20655 |
A-393950958
M-DTV04427687 * |
ज़्यादा | Keymaster |
Qualcomm कॉम्पोनेंट
इन जोखिमों का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी सूचना में दी गई है. इन समस्याओं के बारे में सीधे तौर पर Qualcomm से जानकारी मिलती है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-43066 |
A-372003347
QC-CR#3731804 |
ज़्यादा | बूटलोडर |
| CVE-2024-49848 |
A-388048362
QC-CR#3908517 |
ज़्यादा | कर्नेल |
| CVE-2025-21429 |
A-388048166
QC-CR#3960857 [2] |
ज़्यादा | WLAN |
| CVE-2025-21430 |
A-388047866
QC-CR#3910625 [2] |
ज़्यादा | WLAN |
| CVE-2025-21434 |
A-388048345
QC-CR#3918068 |
ज़्यादा | WLAN |
| CVE-2025-21435 |
A-388047607
QC-CR#3924648 |
ज़्यादा | WLAN |
| CVE-2025-21436 |
A-388048322
QC-CR#3927062 |
ज़्यादा | कर्नेल |
Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट
इन कमज़ोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी सूचना में दी गई है. इन समस्याओं के बारे में सीधे तौर पर Qualcomm से जानकारी मिलती है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2024-45551 |
A-372002538 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-33058 |
A-372002796 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-43065 |
A-372003122 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-45549 |
A-372002818 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2024-45552 |
A-372003503 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2025-21448 |
A-388048021 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद अक्सर पूछे जाने वाले सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है?
किसी डिवाइस के सुरक्षा पैच का लेवल देखने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.
- 01-04-2025 या उसके बाद के सुरक्षा पैच लेवल में, 01-04-2025 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
- 05-04-2025 या उसके बाद के सुरक्षा पैच लेवल में, 05-04-2025 के सुरक्षा पैच लेवल और पिछले सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
डिवाइस बनाने वाली कंपनियों को, इन अपडेट को शामिल करने के लिए पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2025-04-01]
- [ro.build.version.security_patch]:[2025-04-05]
Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play सिस्टम अपडेट में तारीख की ऐसी स्ट्रिंग होगी जो 2025-04-01 के सुरक्षा पैच लेवल से मेल खाती हो. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस बुलेटिन में सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल दिए गए हैं, ताकि Android पार्टनर को सभी Android डिवाइसों में मौजूद मिलती-जुलती कमियों को ठीक करने में आसानी हो. Android पार्टनर को इस बुलेटिन में दी गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 2025-04-01 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं के समाधान भी शामिल होने चाहिए.
- जिन डिवाइसों में 05-04-2025 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस (और पिछले) सुरक्षा बुलेटिन में बताए गए सभी ज़रूरी पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करें जिन पर वे काम कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
सुरक्षा से जुड़ी कमज़ोरी की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़ी कमज़ोरी के क्लासिफ़िकेशन का रेफ़रंस देती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| RCE | रिमोट कोड एक्ज़ीक्यूशन |
| EoP | खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल |
| ID | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | कैटगरी की जानकारी उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
कमज़ोरी की जानकारी देने वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में ऐसा प्रीफ़िक्स हो सकता है जिससे यह पता चलता है कि रेफ़रंस वैल्यू किस संगठन से जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android में गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
जिन समस्याओं की जानकारी सार्वजनिक तौर पर उपलब्ध नहीं है उनके रेफ़रंस आईडी के बगल में * का निशान होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए उपलब्ध नए बाइनरी ड्राइवर में शामिल होता है. ये ड्राइवर, Google की डेवलपर साइट पर उपलब्ध होते हैं.
6. सुरक्षा से जुड़ी कमियों की जानकारी देने वाले इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन (जैसे, Pixel बुलेटिन) में सुरक्षा से जुड़ी कमियों की जानकारी अलग-अलग क्यों दी जाती है?
इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी कमियों को ठीक करने के लिए, Android डिवाइसों पर सुरक्षा पैच का नया लेवल लागू करना ज़रूरी है. सुरक्षा पैच का लेवल तय करने के लिए, सुरक्षा से जुड़ी अन्य कमज़ोरियों के बारे में बताना ज़रूरी नहीं है. इन कमज़ोरियों के बारे में, डिवाइस / पार्टनर के सुरक्षा बुलेटिन में बताया गया है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमज़ोरियों की जानकारी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 7 अप्रैल, 2025 | बुलेटिन पब्लिश किया गया |
| 1.1 | 8 अप्रैल, 2025 | AOSP के लिंक जोड़े गए |
| 1.2 | 22 अप्रैल, 2025 | CVE टेबल अपडेट की गई |