Android का सुरक्षा बुलेटिन नवंबर 2024

पब्लिश करने की तारीख: 4 नवंबर, 2024

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. सुरक्षा पैच के लेवल 05-11-2024 या उसके बाद के वर्शन में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना देखें.

Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए, सोर्स कोड पैच को Android OpenSource Project (AOSP) के डेटा स्टोर करने की जगह में रिलीज़ कर दिया गया है और उसे इस बुलेटिन से लिंक किया गया है. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में सुरक्षा से जुड़ी गंभीर समस्या है. इसकी वजह से, रिमोट कोड प्रोग्राम चलाया जा सकता है. इसके लिए, प्रोग्राम चलाने से जुड़ी अतिरिक्त अनुमतियों की ज़रूरत नहीं होती. गंभीर समस्या का आकलन, इस बात पर आधारित होता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा को कमज़ोरी से बचाने वाली सुविधाएं बंद हैं या नहीं या फिर उन्हें बाईपास कर दिया गया है.

Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect के ज़रिए खतरों क�� कम करने वाले सेक्शन पर ��ा��ं. इ�� स���विधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.

Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना

इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect से मिलने वाले सुरक्षा उपायों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

  • Android प्लैटफ़ॉर्म के नए वर्शन को बेहतर बनाने की वजह से, Android पर कई समस्याओं का पता लगाना और भी आसान हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
  • Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google मोबाइल सेवाओं वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा, किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.

01-11-2024 का सुरक्षा पैच लेवल सुरक्षा से जुड़ी समस्या की जानकारी

नीचे दिए गए सेक्शन में, हमने 01-11-2024 के पैच लेवल पर लागू होने वाले, सुरक्षा से जुड़े हर जोखिम की जानकारी दी है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस ��र उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सी���ीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और उसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट और Google Play के सिस्टम अपडेट भी मिल सकते हैं.

फ़्रेमवर्क

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

सीवीई रेफ़रंस टाइप गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-40660 A-347307756 [2] ईओपी ज़्यादा 14, 15
CVE-2024-43081 A-341256043 EoP ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43085 A-353712853 EoP ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43093 A-341680936 EoP ज़्यादा 12, 13, 14, 15
CVE-2024-43082 A-296915959 आईडी ज़्यादा 12, 12L
CVE-2024-43084 A-281044385 आईडी ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43086 A-343440463 आईडी ज़्यादा 12, 12L, 13, 14, 15

सिस्टम

इस सेक्शन में सबसे गंभीर जोखिम की वजह से रिमोट कोड लागू हो सकता है और इसके लिए किसी दूसरे एक्ज़ीक्यूशन की ज़रूरत नहीं पड़ सकती.

CVE रेफ़रंस टाइप गंभीरता AOSP के अपडेट किए गए वर्शन
CVE-2024-43091 A-344620577 आरसीई ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-29779 A-329701910 EoP ज़्यादा 14
CVE-2024-34719 A-242996380 EoP ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-40661 A-308138085 EoP ज़्यादा 12, 12L, 13, 14
CVE-2024-43080 A-330722900 EoP ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43087 A-353700779 EoP ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43088 A-326057017 EoP ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43089 A-304280682 EoP ज़्यादा 12, 12L, 13, 14, 15
CVE-2024-43090 A-331180422 आईडी ज़्यादा 12, 12 ली॰, 13, 14
CVE-2024-43083 ए-348352288 डीओएस ज़्यादा 12, 12L, 13, 14, 15

Google Play के सिस्टम अपडेट

Project Mainline घटकों में नीचे दी गई समस्याएं शामिल हैं.

सब-कॉम्पोनेंट CVE
Documents का यूज़र इंटरफ़ेस (यूआई) CVE-2024-43093
मीडिया प्रोवाइडर CVE-2024-43089
अनुमति कंट्रोलर CVE-2024-40661
वाई-फ़ाई CVE-2024-43083

05-11-2024 सुरक्षा पैच के लेवल से जुड़ी समस्या की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 05-11-2024 के पैच लेवल पर लागू होती है. जोखिम, उस क��म्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. समस्याओं के बारे में यहां दी गई टेबल में बताया गया है. इनमें सीवीई आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. �����से, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद के ����बरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

कर्नेल

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर ऐक्सेस लेवल बढ़ सकता है. इसके लिए, ऐक्सेस करने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

सीवीई रेफ़रंस टाइप गंभीरता सब-कॉम्पोनेंट
CVE-2024-36978 A-349777785
अपस्ट्रीम कर्नेल [2]
EoP ज़्यादा कुल
CVE-2024-46740 A-352520660
अपस्ट्रीम कर्नेल [2] [3] [4] [5] [6] [7] [8]
ईओपी ज़्यादा बाइंडर

Kernel LTS

इन कर्नेल वर्शन को अपडेट कर दिया गया है. कर्नेल वर्शन के अपडेट, डिवाइस के लॉन्च के समय Android OS के वर्शन पर निर्भर करते हैं.

रेफ़रंस Android का लॉन्च वर्शन Kernel का लॉन्च वर्शन अपडेट का कम से कम वर्शन
A-348473863 12 5.4 5.4.274
A-348681334 12 4.19 4.19.312

Imagination Technologies

इन कमजोरियों का असर, Imagination Technologies के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Imagination Technologies से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Imagination Technologies करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2024-34747
A-346643520 * ज़्यादा PowerVR-GPU
CVE-2024-40671
A-355477536 * ज़्यादा PowerVR-GPU

Imagination Technologies

इन कमजोरियों का असर, Imagination Technologies के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे Imagination Technologies से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Imagination Technologies करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2023-35659
A-350006107 * ज़्यादा PowerVR-GPU
CVE-2023-35686
A-350527097 * ज़्यादा PowerVR-GPU
CVE-2024-23715
A-350530745 * ज़्यादा PowerVR-GPU
CVE-2024-31337
A-337944529 * ज़्यादा PowerVR-GPU
CVE-2024-34729
A-331437862 * ज़्यादा PowerVR-GPU

MediaTek कॉम्पोनेंट

इन कमजोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. ज़्यादा जानकारी के लिए, सीधे MediaTek से संपर्क करें. इन समस्याओं की गंभीरता का आकलन, सीधे MediaTek करता है.

CVE रेफ़रंस गंभीरता सबकॉम्पोनेंट
CVE-2024-20104
A-363850556
M-ALPS09073261 *
ज़्यादा डीए
CVE-2024-20106
A-363849996
M-ALPS08960505 *
ज़्यादा एम4यू

Qualcomm के कॉम्पोनेंट

ये जोखिम, Qualcomm के कॉम्पोनेंट पर असर डालते हैं. इनके बारे में Qualcomm के सुरक्षा से जुड़े बुलेटिन या सुरक्षा से जुड़ी चेतावनी में ज़्यादा जानकारी दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

सीवीई रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2024-21455
A-357616450
QC-CR#3839449 [2]
QC-CR#3875202 [2]
ज़्यादा कर्नेल
CVE-2024-38402
A-364017423
QC-CR#3890158
ज़्यादा कर्नेल
CVE-2024-38405
A-357615761
QC-CR#3754687
ज़्यादा WLAN
CVE-2024-38415
A-357616194
QC-CR#3775520 [2]
ज़्यादा कैमरा
CVE-2024-38421
A-357616018
QC-CR#3793941
ज़्यादा डिसप्ले
CVE-2024-38422
A-357616000
QC-CR#3794268 [2] [3]
ज़्यादा ऑडियो
CVE-2024-38423
A-357615775
QC-CR#3799033
ज़्यादा डिसप्ले
CVE-2024-43047
A-364017103
QC-CR#3883647
ज़्यादा कर्नेल

Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट

��न कमजोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE रेफ़रंस गंभीरता सब-कॉम्पोनेंट
CVE-2024-38408
A-357615875 * सबसे अहम क्लोज़्ड सोर्स कॉम्पोनेंट
CVE-2024-23385
A-339043003 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-38403
A-357615948 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2024-38424
A-357616230 * ज़्यादा क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और उसे अपडेट करना लेख पढ़ें.

  • 01-11-2024 या इसके बाद के सिक्योरिटी पैच लेवल, 01-11-2024 सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं का समाधान करते हैं.
  • 05-11-2024 या इसके बाद के सिक्योरिटी पैच लेवल, 05-11-2024 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने इन अपडेट को शामिल किया है उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[01-11-2024]
  • [ro.build.version.security_patch]:[2024-11-05]

Android 10 या उसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की एक स्ट्रिंग होगी. यह स्ट्रिंग, 01-11-2024 के सुरक्षा पैच लेवल से मेल खाएगी. सुरक्षा से जुड़े अपडेट इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?

इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों पर एक जैसे जोखिमों के सबसेट को ज़्यादा तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

  • जिन डिवाइसों में 01-11-2024 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल हो��ी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
  • जिन डिवाइसों में 05-11-2024 या उसके ��ाद के ��िक्योरिटी ��ैच ��ेवल का इस्तेमाल क����ा जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा जोखिम की कैटगरी के बारे में बताती हैं.

संक्षेपण परिभाषा
आरसीई रिमोट कोड को चलाना
ईओपी प्रिविलेज एस्कलेशन
आईडी जानकारी ज़ाहिर करना
डीओएस सेवा में रुकावट
लागू नहीं वर्गीकरण उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.

प्रीफ़िक्स रेफ़रंस
A- Android गड़बड़ी का आईडी
QC- Qualcomm का रेफ़रंस नंबर
M- MediaTek रेफ़रंस नंबर
N- NVIDIA का रेफ़रंस नंबर
B- Broadcom का रेफ़रंस नंबर
U- UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

सार्वजनिक तौर पर उपलब्ध नहीं होने वाली समस्याओं के रेफ़रंस आईडी के बगल में * का निशान होता है. आम तौर पर, उस समस्या का अपडेट, Pixel डिवाइसों के लिए सबसे नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google डेवलपर साइट से उपलब्ध होते हैं.

6. सुरक्षा से जुड़ी जोखिम की आशंकाओं को इस सूचना और डिवाइस/पार्टनर की सुरक्षा से जुड़ी सूचनाओं, जैसे कि Pixel की सूचना के बीच क्यों बांटा जाता है?

इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों के आधार पर, Android डिवाइसों पर नए स��क्योरिटी पैच लेवल का एलान किया जाता है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस / पार्टनर के सुरक्षा बुलेटिन में सुरक्षा से जुड़े दूसरे जोखिमों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां, अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी कमजोरियों की जानकारी भी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन तारीख नोट
1.0 4 नवंबर, 2024 बुलेटिन पब्लिश हो गया.