हमारा सुझाव है कि 27 मार्च, 2025 से AOSP को बनाने और उसमें योगदान देने के लिए, aosp-main के बजाय android-latest-release का इस्तेमाल करें. ज़्यादा जानकारी के लिए, AOSP में हुए बदलाव लेख पढ़ें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

Android का सुरक्षा बुलेटिन—फ़रवरी 2024

पब्लिश करने की तारीख: 5 फ़रवरी, 2024

Android सुरक्षा बुलेटिन में, Android डिवाइसों को प्रभावित करने वाली सुरक्षा से जुड़ी कमियों के बारे में जानकारी होती है. सुरक्षा पैच लेवल 2024-02-05 या उसके बाद के वर्शन में, इन सभी समस्याओं को ठीक कर दिया गया है. किसी डिवाइस के सुरक्षा पैच का लेवल देखने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.

Android पार्टनर को सभी समस्याओं के बारे में, पब्लिश करने से कम से कम एक महीने पहले सूचना दी जाती है. इन समस्याओं को ठीक करने के लिए, सोर्स कोड पैच को Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ कर दिया गया है. साथ ही, इस बुलेटिन में लिंक कर दिया गया है. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इनमें से सबसे गंभीर समस्या, सिस्टम कॉम्पोनेंट में मौजूद सुरक्षा से जुड़ी एक गंभीर जोखिम है. इससे रिमोट कोड प्रोग्राम चलाए जा सकते हैं. इसके लिए, किसी अतिरिक्त अनुमति की ज़रूरत नहीं होती. गंभीरता का आकलन इस आधार पर किया जाता है कि सुरक्षा से जुड़ी इस समस्या का फ़ायदा उठाने से, प्रभावित डिवाइस पर क्या असर पड़ सकता है. इसमें यह माना जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी सुरक्षा कम करने वाली सुविधाओं को बंद कर दिया गया है या उन्हें सफलतापूर्वक बायपास कर दिया गया है.

Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं के बारे में जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं सेक्शन पर जाएं. इससे आपको Android के सुरक्षा प्लैटफ़ॉर्म से जुड़ी सुरक्षा सुविधाओं के बारे में जानकारी मिलेगी. साथ ही, Google Play Protect के बारे में भी पता चलेगा. ये दोनों सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.

Android और Google सेवा से जुड़ी समस्याओं को कम करने के तरीके

यहां Android के सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सुरक्षा सेवाओं से जुड़ी सुविधाओं के बारे में खास जानकारी दी गई है. इन क्षमताओं की वजह से, Android पर सुरक्षा जोखिम की संभावना कम हो जाती है.

Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हम सभी उपयोगकर्ताओं को सलाह देते हैं कि वे Android के नए वर्शन पर अपडेट करें.
Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google Play Protect, Google मोबाइल सेवाएं वाले डिवाइसों पर डिफ़ॉल्ट रूप से चालू होता है. यह उन लोगों के लिए खास तौर पर ज़रूरी है जो Google Play के अलावा किसी और प्लैटफ़ॉर्म से ऐप्लिकेशन इंस्टॉल करते हैं.

01-02-2024 सुरक्षा पैच लेवल की कमज़ोरियों की जानकारी

यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 2024-02-01 के पैच लेवल पर लागू होती हैं. कमज़ोरियों को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP की बदलाव सूची. जब कई बदलाव किसी एक गड़बड़ी से जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद वाले नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.

Framework

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर विशेषाधिकारों में बढ़ोतरी हो सकती है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2024-0029	A-305664128	EoP	ज़्यादा	13
CVE-2024-0034	A-298094386	EoP	ज़्यादा	11, 12, 12L, 13
CVE-2024-0036	A-230492947	EoP	ज़्यादा	11, 12, 12L, 13, 14
CVE-2024-0038	A-309426390	EoP	ज़्यादा	14
CVE-2024-0041	A-300741186	EoP	ज़्यादा	14
CVE-2024-0040	A-300007708	ID	ज़्यादा	11, 12, 12L, 13, 14

सिस्टम

इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट कोड प्रोग्राम चलाया जा सकता है. इसके लिए, प्रोग्राम चलाने की अतिरिक्त अनुमतियों की ज़रूरत नहीं होती.

CVE	रेफ़रंस	टाइप	गंभीरता	AOSP के अपडेट किए गए वर्शन
CVE-2024-0031	A-297524203	RCE	सबसे अहम	11, 12, 12L, 13, 14
CVE-2024-0014	A-304082474	EoP	ज़्यादा	11, 12, 12L, 13, 14
CVE-2024-0033	A-294609150 [2]	EoP	ज़्यादा	11, 12, 12L, 13, 14
CVE-2024-0035	A-300903792	EoP	ज़्यादा	11, 12, 12L, 13, 14
CVE-2023-40093	A-279055389 [2]	ID	ज़्यादा	11, 12, 12L, 13, 14
CVE-2024-0030	A-276898739	ID	ज़्यादा	11, 12, 12L, 13, 14

Google Play के सिस्टम अपडेट

इस महीने, Google Play के सिस्टम अपडेट (Project Mainline) में सुरक्षा से जुड़ी कोई समस्या ठीक नहीं की गई है.

05-02-2024 सुरक्षा पैच लेवल की कमज़ोरी की जानकारी

यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 2024-02-05 के पैच लेवल पर लागू होती हैं. कमज़ोरियों को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP की बदलाव सूची. जब कई बदलाव किसी एक गड़बड़ी से जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद वाले नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.

ग्रुप के कॉम्पोनेंट

इन कमज़ोरियों का असर Arm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे तौर पर Arm से मिल सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Arm करता है.

CVE	रेफ़रंस	गंभीरता	सबकॉम्पोनेंट
CVE-2023-5091	A-298150556 *	ज़्यादा	माली
CVE-2023-5249	A-301630648 *	ज़्यादा	माली
CVE-2023-5643	A-308188986 *	ज़्यादा	माली

MediaTek कॉम्पोनेंट

इन कमज़ोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे MediaTek से मिल सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर MediaTek करता है.

CVE	रेफ़रंस	गंभीरता	सबकॉम्पोनेंट
CVE-2024-20011	A-314698315 M-ALPS08441146 *	ज़्यादा	alac decoder
CVE-2024-20006	A-314707751 M-ALPS08477148 *	ज़्यादा	DA
CVE-2024-20007	A-314698312 M-ALPS08441369 *	ज़्यादा	mp3 डिकोडर
CVE-2024-20009	A-314698313 M-ALPS08441150 *	ज़्यादा	alac decoder
CVE-2024-20010	A-314698314 M-ALPS08358560 *	ज़्यादा	keyInstall
CVE-2023-32841	A-317829109 M-MOLY01128524 *	ज़्यादा	5G मॉडेम
CVE-2023-32842	A-317826159 M-MOLY01130256 *	ज़्यादा	5G मॉडेम
CVE-2023-32843	A-317829110 M-MOLY01130204 *	ज़्यादा	5G मॉडेम
CVE-2024-20003	A-317829112 M-MOLY01191612 *	ज़्यादा	5G मॉडेम

Unisoc कॉम्पोनेंट

इन कमियों का असर Unisoc के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे Unisoc से मिल सकती है. इन समस्याओं के बारे में Unisoc सीधे तौर पर बताता है.

CVE	रेफ़रंस	गंभीरता	सबकॉम्पोनेंट
CVE-2023-49667	A-314033392 U-2455269 *	ज़्यादा	कर्नेल
CVE-2023-49668	A-314032846 U-2455269 *	ज़्यादा	कर्नेल

Qualcomm कॉम्पोनेंट

इन जोखिमों का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी सूचना में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	सबकॉम्पोनेंट
CVE-2023-43513	A-303101658 QC-CR#3545432 [2]	ज़्यादा	कर्नेल
CVE-2023-43516	A-309461150 QC-CR#3536092	ज़्यादा	वीडियो
CVE-2023-43520	A-309461173 QC-CR#3575335	ज़्यादा	WLAN
CVE-2023-43534	A-309461218 QC-CR#3575491 QC-CR#3578829	ज़्यादा	WLAN

Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट

इन कमज़ोरियों का असर, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी सूचना में दी गई है. इन समस्याओं के गंभीर होने का आकलन, सीधे तौर पर Qualcomm करता है.

CVE	रेफ़रंस	गंभीरता	सबकॉम्पोनेंट
CVE-2023-33046	A-295038516 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33049	A-295039556 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33057	A-295039728 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33058	A-295038658 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33060	A-295039022 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33072	A-295038660 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-33076	A-295039588 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-43518	A-309460837 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-43519	A-309461083 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-43522	A-309461138 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-43523	A-309460866 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-43533	A-309461430 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट
CVE-2023-43536	A-309461332 *	ज़्यादा	क्लोज़्ड-सोर्स कॉम्पोनेंट

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद अक्सर पूछे जाने वाले सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच का लेवल देखने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.

01-02-2024 या उसके बाद के सुरक्षा पैच लेवल में, 01-02-2024 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
05-02-2024 या इसके बाद के सुरक्षा पैच लेवल में, 05-02-2024 के सुरक्षा पैच लेवल और पिछले सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.

डिवाइस बनाने वाली कंपनियों को, इन अपडेट को शामिल करने के लिए पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:

[ro.build.version.security_patch]:[2024-02-01]
[ro.build.version.security_patch]:[2024-02-05]

Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की ऐसी स्ट्रिंग होगी जो 2024-02-01 के सुरक्षा पैच लेवल से मेल खाती हो. सुरक्षा अपडेट को इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.

2. इस बुलेटिन में सुरक्षा पैच के दो लेवल क्यों दिए गए हैं?

इस बुलेटिन में दो सिक्योरिटी पैच लेवल दिए गए हैं, ताकि Android पार्टनर सभी Android डिवाइसों में एक जैसी कमियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस बुलेटिन में दी गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने के लिए कहा गया है.

जिन डिवाइसों में 2024-02-01 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं के समाधान भी शामिल होने चाहिए.
जिन डिवाइसों में 05-02-2024 या उसके बाद का सिक्योरिटी पैच लेवल इस्तेमाल किया जाता है उनमें इस (और पिछले) सुरक्षा बुलेटिन में बताए गए सभी ज़रूरी पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करें जिन पर वे काम कर रहे हैं.

3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?

कमज़ोरी की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़ी कमज़ोरी के क्लासिफ़िकेशन का रेफ़रंस देती हैं.

संक्षेपण	परिभाषा
RCE	रिमोट कोड एक्ज़ीक्यूशन
EoP	खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल
ID	जानकारी ज़ाहिर करना
डीओएस	सेवा में रुकावट
लागू नहीं	कैटगरी की जानकारी उपलब्ध नहीं है

4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?

कमज़ोरी की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, ऐसा प्रीफ़िक्स शामिल हो सकता है जिससे उस संगठन की पहचान होती है जिससे रेफ़रंस वैल्यू जुड़ी है.

प्रीफ़िक्स	रेफ़रंस
A-	Android गड़बड़ी का आईडी
QC-	Qualcomm का रेफ़रंस नंबर
M-	MediaTek का रेफ़रंस नंबर
N-	NVIDIA का रेफ़रंस नंबर
B-	Broadcom का रेफ़रंस नंबर
U-	UNISOC का रेफ़रंस नंबर

5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?

जिन समस्याओं के बारे में सार्वजनिक तौर पर जानकारी उपलब्ध नहीं है उनके रेफ़रंस आईडी के बगल में * का निशान होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए उपलब्ध नए बाइनरी ड्राइवर में शामिल होता है. ये ड्राइवर, Google की डेवलपर साइट पर उपलब्ध होते हैं.

6. सुरक्षा से जुड़ी समस्याओं को इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel के बुलेटिन के बीच क्यों बांटा गया है?

इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी कमियों के लिए, Android डिवाइसों पर सुरक्षा पैच लेवल की जानकारी देना ज़रूरी है. डिवाइस / पार्टनर के सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी अन्य कमियों के बारे में जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी, अपने प्रॉडक्ट से जुड़ी सुरक्षा की कमज़ोरियों की जानकारी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.

वर्शन

वर्शन	तारीख	नोट
1.0	5 फ़रवरी, 2024	बुलेटिन पब्लिश किया गया.