নেক্সাস নিরাপত্তা বুলেটিন - অক্টোবর 2015

প্রকাশিত অক্টোবর 05, 2015 | 28 এপ্রিল, 2016 আপডেট করা হয়েছে

আমরা আমাদের Android সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। 1 অক্টোবর, 2015 এর নিরাপত্তা প্যাচ লেভেলের সাথে LMY48T বা তার পরে (যেমন LMY48W) এবং Android M তৈরি করে বা তার পরে এই সমস্যাগুলির সমাধান করে৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন।

10 সেপ্টেম্বর, 2015 বা তার আগে অংশীদারদের এই সমস্যাগুলি সম্পর্কে অবহিত করা হয়েছিল৷ এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে।

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষাগুলির বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের সুরক্ষা উন্নত করে৷ আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷

প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল হওয়ার বিষয়ে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
  • উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলিকে আপডেট করেছে যাতে মিডিয়া স্বয়ংক্রিয়ভাবে দুর্বল প্রক্রিয়াগুলিতে (যেমন মিডিয়া সার্ভার) পাস না হয়।

স্বীকৃতি

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

  • Brennan Lautner: CVE-2015-3863
  • Qihoo 360 থেকে C0RE টিমের Chiachih Wu এবং Xuxian Jiang: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
  • Qihoo 360 থেকে C0RE টিমের ইয়াজিন ঝু, লেই উ এবং জুক্সিয়ান জিয়াং: CVE-2015-3865
  • কপারহেড সিকিউরিটিতে ড্যানিয়েল মাইকে (daniel.micay@copperhead.co): CVE-2015-3875
  • আলিবাবা মোবাইল সিকিউরিটি টিমের dragonltx: CVE-2015-6599
  • গুগল প্রজেক্ট জিরোর ইয়ান বিয়ার এবং স্টিভেন ভিটিটো: CVE-2015-6604
  • জোয়াকুইন রিনাউডো (@xeroxnir) এবং Ivan Arce (@4Dgifts) প্রোগ্রামা STIC-এর Fundación ডঃ ম্যানুয়েল সাডোস্কি, বুয়েনস আইরেস আর্জেন্টিনা: CVE-2015-3870
  • জিম্পেরিয়ামের জোশ ড্রেক: CVE-2015-3876, CVE-2015-6602
  • এক্সোডাস ইন্টেলিজেন্সের জর্ডান গ্রুসকোভনজাক (@jgrusko): CVE-2015-3867
  • ট্রেন্ড মাইক্রোর পিটার পাই: CVE-2015-3872, CVE-2015-3871
  • Qihoo 360 Technology Co. Ltd-এর পিং লি: CVE-2015-3878
  • সেভেন শেন: CVE-2015-6600, CVE-2015-3847
  • বাইদু এক্স-টিমের ওয়াংটাও (নিওবাইট): CVE-2015-6598
  • ট্রেন্ড মাইক্রো ইনকর্পোরেটেডের উইশ উ (@wish_wu): CVE-2015-3823
  • ইউনিভার্সিটি অফ অ্যাপ্লাইড সায়েন্সেস, আপার অস্ট্রিয়া/ হ্যাগেনবার্গে জেআর-সেন্টার ইউ'স স্মাইলের মাইকেল রোল্যান্ড: CVE-2015-6606

আমরা এই বুলেটিনে স্থির করা বেশ কয়েকটি সমস্যা রিপোর্ট করার জন্য Chrome সিকিউরিটি টিম, Google সিকিউরিটি টিম, প্রোজেক্ট জিরো এবং Google-এর মধ্যে অন্যান্য ব্যক্তিদের অবদানকেও স্বীকার করতে চাই।

নিরাপত্তা দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2015-10-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, প্রভাবিত সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। যেখানে উপলব্ধ, আমরা AOSP পরিবর্তনটিকে লিঙ্ক করেছি যা সমস্যাটিকে বাগ আইডিতে সম্বোধন করেছে৷ যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।

রিমোট কোড এক্সিকিউশন দুর্বলতা লিবস্টেজফ্রাইটে

libstagefright-এ দুর্বলতা বিদ্যমান যা একটি আক্রমণকারীকে, মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভার পরিষেবাতে মেমরি দুর্নীতি এবং দূরবর্তী কোড সম্পাদনের কারণ হতে পারে।

একটি বিশেষ সুবিধাপ্রাপ্ত পরিষেবা হিসাবে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাগুলিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। প্রভাবিত উপাদানগুলির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-3873 ANDROID-20674086 [ 2 , 3 , 4 ] সমালোচনামূলক 5.1 এবং নীচে গুগল অভ্যন্তরীণ
ANDROID-20674674 [ 2 , 3 , 4 ]
ANDROID-20718524
অ্যান্ড্রয়েড-21048776
ANDROID-21443020
ANDROID-21814993
ANDROID-22008959
ANDROID-22077698
ANDROID-22388975
ANDROID-22845824
ANDROID-23016072
ANDROID-23247055
অ্যান্ড্রয়েড-২৩২৪৮৭৭৬
ANDROID-20721050 সমালোচনামূলক 5.0 এবং 5.1 গুগল অভ্যন্তরীণ
CVE-2015-3823 ANDROID-21335999 সমালোচনামূলক 5.1 এবং নীচে 20 মে, 2015
CVE-2015-6600 ANDROID-22882938 সমালোচনামূলক 5.1 এবং নীচে জুলাই 31, 2015
CVE-2015-6601 ANDROID-22935234 সমালোচনামূলক 5.1 এবং নীচে 3 আগস্ট, 2015
CVE-2015-3869 ANDROID-23036083 সমালোচনামূলক 5.1 এবং নীচে 4 আগস্ট, 2015
CVE-2015-3870 ANDROID-22771132 সমালোচনামূলক 5.1 এবং নীচে 5 আগস্ট, 2015
CVE-2015-3871 ANDROID-23031033 সমালোচনামূলক 5.1 এবং নীচে 6 আগস্ট, 2015
CVE-2015-3868 ANDROID-23270724 সমালোচনামূলক 5.1 এবং নীচে 6 আগস্ট, 2015
CVE-2015-6604 ANDROID-23129786 সমালোচনামূলক 5.1 এবং নীচে 11 আগস্ট, 2015
CVE-2015-3867 ANDROID-23213430 সমালোচনামূলক 5.1 এবং নীচে 14 আগস্ট, 2015
CVE-2015-6603 ANDROID-23227354 সমালোচনামূলক 5.1 এবং নীচে আগস্ট 15,2015
CVE-2015-3876 ANDROID-23285192 সমালোচনামূলক 5.1 এবং নীচে আগস্ট 15, 2015
CVE-2015-6598 অ্যান্ড্রয়েড-২৩৩০৬৬৩৮ সমালোচনামূলক 5.1 এবং নীচে 18 আগস্ট, 2015
CVE-2015-3872 অ্যান্ড্রয়েড-২৩৩৪৬৩৮৮ সমালোচনামূলক 5.1 এবং নীচে আগস্ট 19, 2015
CVE-2015-6599 ANDROID-23416608 সমালোচনামূলক 5.1 এবং নীচে 21শে আগস্ট, 2015

Sonivox-এ রিমোট কোড এক্সিকিউশন দুর্বলতা

Sonivox-এ দুর্বলতা বিদ্যমান যা একটি বিশেষভাবে তৈরি করা ফাইলের মিডিয়া ফাইল প্রক্রিয়াকরণের সময় আক্রমণকারীকে, মিডিয়াসার্ভার পরিষেবাতে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে। একটি বিশেষ সুবিধাপ্রাপ্ত পরিষেবা হিসাবে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে৷ প্রভাবিত উপাদানটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-3874 ANDROID-23335715 সমালোচনামূলক 5.1 এবং নীচে একাধিক
ANDROID-23307276 [ 2 ]
ANDROID-23286323

libutils মধ্যে দূরবর্তী কোড এক্সিকিউশন দুর্বলতা

libutils-এ দুর্বলতা, একটি জেনেরিক লাইব্রেরি, অডিও ফাইল প্রক্রিয়াকরণে বিদ্যমান। এই দুর্বলতাগুলি একটি আক্রমণকারীকে, একটি বিশেষভাবে তৈরি করা ফাইলের প্রক্রিয়াকরণের সময়, এই লাইব্রেরি যেমন মিডিয়া সার্ভার ব্যবহার করে এমন একটি পরিষেবাতে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা একটি অ্যাপ্লিকেশন API হিসাবে সরবরাহ করা হয়েছে এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক। একটি বিশেষ সুবিধাপ্রাপ্ত পরিষেবাতে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে৷ প্রভাবিত উপাদানটির অডিও এবং ভিডিও স্ট্রীমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-3875 ANDROID-22952485 সমালোচনামূলক 5.1 এবং নীচে আগস্ট 15, 2015
CVE-2015-6602 ANDROID-23290056 [ 2 ] সমালোচনামূলক 5.1 এবং নীচে আগস্ট 15, 2015

স্কিয়াতে রিমোট কোড এক্সিকিউশন দুর্বলতা

একটি বিশেষভাবে তৈরি করা মিডিয়া ফাইল প্রক্রিয়াকরণের সময় স্কিয়া উপাদানের একটি দুর্বলতা লাভ করা যেতে পারে, যা একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ায় মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করতে পারে। মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক আক্রমণ পদ্ধতির মাধ্যমে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-3877 ANDROID-20723696 সমালোচনামূলক 5.1 এবং নীচে 30 জুলাই, 2015

libFLAC-তে রিমোট কোড এক্সিকিউশন দুর্বলতা

মিডিয়া ফাইল প্রক্রিয়াকরণে libFLAC-এর একটি দুর্বলতা বিদ্যমান। এই দুর্বলতাগুলি একটি আক্রমণকারীকে, একটি বিশেষভাবে তৈরি করা ফাইলের প্রক্রিয়াকরণের সময়, মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা একটি অ্যাপ্লিকেশন API হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, যেমন মিডিয়ার ব্রাউজার প্লেব্যাক। একটি বিশেষ সুবিধাপ্রাপ্ত পরিষেবাতে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে৷ প্রভাবিত উপাদানটির অডিও এবং ভিডিও স্ট্রীমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2014-9028 অ্যান্ড্রয়েড-18872897 [ 2 ] সমালোচনামূলক 5.1 এবং নীচে 14 নভেম্বর, 2014

কীস্টোরে বিশেষাধিকার দুর্বলতার উচ্চতা

কীস্টোর এপিআই-এ কল করার সময় একটি দূষিত অ্যাপ্লিকেশন দ্বারা কীস্টোর উপাদানে বিশেষাধিকার দুর্বলতার একটি উচ্চতা লাভ করা যেতে পারে। এই অ্যাপ্লিকেশনটি কীস্টোরের প্রসঙ্গে মেমরি দুর্নীতি এবং নির্বিচারে কোড সম্পাদনের কারণ হতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি বিশেষাধিকারগুলি অ্যাক্সেস করতে ব্যবহার করা যেতে পারে যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে সরাসরি অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-3863 ANDROID-22802399 উচ্চ 5.1 এবং নীচে জুলাই 28, 2015

মিডিয়া প্লেয়ার ফ্রেমওয়ার্কে বিশেষাধিকার দুর্বলতার উচ্চতা

মিডিয়া প্লেয়ার ফ্রেমওয়ার্ক কম্পোনেন্টে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি দূষিত অ্যাপ্লিকেশনকে মিডিয়া সার্ভারের প্রসঙ্গে নির্বিচারে কোড চালানোর অনুমতি দিতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি একটি দূষিত অ্যাপ্লিকেশনকে বিশেষাধিকারগুলি অ্যাক্সেস করতে দেয় যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-3879 ANDROID-23223325 [2]* উচ্চ 5.1 এবং নীচে 14 আগস্ট, 2015

* এই সমস্যার জন্য দ্বিতীয় পরিবর্তন AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

অ্যান্ড্রয়েড রানটাইমে প্রিভিলেজ দুর্বলতার উচ্চতা

অ্যান্ড্রয়েড রানটাইমে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে স্বেচ্ছাচারী কোড কার্যকর করতে একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-3865 ANDROID-23050463 [ 2 ] উচ্চ 5.1 এবং নীচে 8 আগস্ট, 2015

মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা

মিডিয়া সার্ভারে একাধিক দুর্বলতা রয়েছে যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত নেটিভ পরিষেবার প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি বিশেষাধিকারগুলি অ্যাক্সেস করতে ব্যবহার করা যেতে পারে যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে সরাসরি অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-6596 ANDROID-20731946 উচ্চ 5.1 এবং নীচে একাধিক
ANDROID-20719651*
অ্যান্ড্রয়েড-19573085 উচ্চ 5.0 - 6.0 গুগল অভ্যন্তরীণ

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

সিকিউর এলিমেন্ট ইভালুয়েশন কিটে প্রিভিলেজ ভালনারেবিলিটির উচ্চতা

SEEK (সিকিউর এলিমেন্ট ইভালুয়েশন কিট, ওরফে স্মার্টকার্ড এপিআই) প্লাগইনের একটি দুর্বলতা একটি অ্যাপ্লিকেশনকে অনুরোধ না করেই উচ্চতর অনুমতি পাওয়ার অনুমতি দিতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-6606 ANDROID-22301786* উচ্চ 5.1 এবং নীচে জুন 30, 2015

* এই সমস্যাটির সমাধানকারী আপগ্রেডটি Android এর জন্য SEEK সাইটে অবস্থিত৷

মিডিয়া প্রজেকশনে বিশেষাধিকার দুর্বলতার উচ্চতা

মিডিয়া প্রজেকশন উপাদানের একটি দুর্বলতা ব্যবহারকারীর ডেটা স্ক্রিন স্ন্যাপশট আকারে প্রকাশ করার অনুমতি দিতে পারে। সমস্যাটি অপারেটিং সিস্টেমের অত্যধিক দীর্ঘ অ্যাপ্লিকেশন নামগুলির অনুমতি দেওয়ার ফলাফল। একটি স্থানীয় দূষিত অ্যাপ্লিকেশন দ্বারা এই দীর্ঘ নামগুলির ব্যবহার ব্যবহারকারীর দ্বারা দৃশ্যমান হওয়া থেকে স্ক্রীন রেকর্ডিং সম্পর্কে একটি সতর্কতা প্রতিরোধ করতে পারে৷ এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ভুলভাবে উচ্চতর অনুমতি পেতে ব্যবহার করা যেতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-3878 ANDROID-23345192 পরিমিত 5.0 - 6.0 18 আগস্ট, 2015

ব্লুটুথ-এ প্রিভিলেজ দুর্বলতার উচ্চতা

অ্যান্ড্রয়েডের ব্লুটুথ উপাদানের একটি দুর্বলতা একটি অ্যাপ্লিকেশনকে সঞ্চিত এসএমএস বার্তা মুছে ফেলার অনুমতি দিতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ভুলভাবে উচ্চতর অনুমতি পেতে ব্যবহার করা যেতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-3847 ANDROID-22343270 পরিমিত 5.1 এবং নীচে 8 জুলাই, 2015

SQLite-এ বিশেষাধিকার দুর্বলতার উচ্চতা

SQLite পার্সিং ইঞ্জিনে একাধিক দুর্বলতা আবিষ্কৃত হয়েছে। এই দুর্বলতাগুলি একটি স্থানীয় অ্যাপ্লিকেশন দ্বারা শোষণযোগ্য হতে পারে যা অন্য অ্যাপ্লিকেশন বা পরিষেবাকে নির্বিচারে SQL প্রশ্নগুলি সম্পাদন করতে পারে৷ সফল শোষণ লক্ষ্য অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড সম্পাদন হতে পারে।

8 এপ্রিল, 2015-এ SQLite সংস্করণটিকে 3.8.9-এ আপগ্রেড করে AOSP প্রধান-এ একটি ফিক্স আপলোড করা হয়েছিল: https://android-review.googlesource.com/#/c/145961/

এই বুলেটিনে Android 4.4 (SQLite 3.7.11) এবং Android 5.0 এবং 5.1 (SQLite 3.8.6) এর SQLite সংস্করণগুলির জন্য প্যাচ রয়েছে৷

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-6607 ANDROID-20099586 পরিমিত 5.1 এবং নীচে এপ্রিল 7, 2015
সর্বজনীনভাবে পরিচিত

মিডিয়াসার্ভারে পরিষেবার দুর্বলতা অস্বীকার করা

মিডিয়াসার্ভারে একাধিক দুর্বলতা রয়েছে যা মিডিয়াসার্ভার প্রক্রিয়া ক্র্যাশ করে পরিষেবা অস্বীকার করতে পারে। এই সমস্যাগুলিকে নিম্ন তীব্রতা হিসাবে রেট করা হয়েছে কারণ মিডিয়া সার্ভারের ক্র্যাশের ফলে স্থানীয় অস্থায়ী পরিষেবা অস্বীকার করার ফলে প্রভাবটি অনুভব করা হয়৷

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-6605 ANDROID-20915134 কম 5.1 এবং নীচে গুগল অভ্যন্তরীণ
ANDROID-23142203
ANDROID-22278703 কম 5.0 - 6.0 গুগল অভ্যন্তরীণ
CVE-2015-3862 ANDROID-22954006 কম 5.1 এবং নীচে 2 আগস্ট, 2015

রিভিশন

  • অক্টোবর 05, 2015: বুলেটিন প্রকাশিত।
  • অক্টোবর 07, 2015: AOSP রেফারেন্স সহ বুলেটিন আপডেট করা হয়েছে। CVE-2014-9028-এর জন্য বাগ রেফারেন্স স্পষ্ট করা হয়েছে।
  • অক্টোবর 12, 2015: CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862-এর জন্য আপডেট করা স্বীকৃতি।
  • জানুয়ারী 22, 2016: CVE-2015-6606-এর জন্য আপডেট করা স্বীকৃতি।
  • এপ্রিল 28, 2016: CVE-2015-6603 যোগ করা হয়েছে এবং CVE-2014-9028-এর সাথে টাইপো সংশোধন করা হয়েছে।