নভেম্বর 02, 2015 প্রকাশিত
আমরা আমাদের Android সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। 1 নভেম্বর, 2015 বা তার পরের নিরাপত্তা প্যাচ লেভেল সহ LMY48X বা তার পরে এবং Android Marshmallow তৈরি করে এই সমস্যাগুলির সমাধান করে৷ আরো বিস্তারিত জানার জন্য সাধারণ প্রশ্ন এবং উত্তর বিভাগে পড়ুন।
5 অক্টোবর, 2015 বা তার আগে অংশীদারদের এই সমস্যাগুলি সম্পর্কে অবহিত করা হয়েছিল৷ এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি পরবর্তী 48 ঘন্টার মধ্যে Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হবে। AOSP লিঙ্কগুলি উপলব্ধ হলে আমরা এই বুলেটিনটি সংশোধন করব।
এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।
আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষাগুলির বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের সুরক্ষা উন্নত করে৷ আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷
প্রশমন
এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
- Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল হওয়ার বিষয়ে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
- উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।
স্বীকৃতি
আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:
- অভিষেক আর্য, অলিভার চ্যাং এবং মার্টিন বারবেলা, গুগল ক্রোম সিকিউরিটি টিম: CVE-2015-6608
- কপারহেড নিরাপত্তায় ড্যানিয়েল মাইকে (daniel.micay@copperhead.co): CVE-2015-6609
- সিস্টেম সিকিউরিটি ল্যাবের ডংকওয়ান কিম, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- সিস্টেম সিকিউরিটি ল্যাবের হঙ্গিল কিম, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- ট্রেন্ড মাইক্রোর জ্যাক ট্যাং (@jacktang310): CVE-2015-6611
- ট্রেন্ড মাইক্রোর পিটার পাই: CVE-2015-6611
- গুগল প্রজেক্ট জিরোর নাটালি সিলভানোভিচ: CVE-2015-6608
- কিদান হে (@flanker_hqd) এবং ওয়েন জু (@antlr7) কিনটিম (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- গুয়াং গং (龚广) ( @oldfresher , higongguang@gmail.com) Qihoo 360 প্রযুক্তি CC o.Ltd : CVE-2015-6612
- ট্রেন্ড মাইক্রোর সেভেন শেন: CVE-2015-6610
নিরাপত্তা দুর্বলতার বিবরণ
নীচের বিভাগে, আমরা 2015-11-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, প্রভাবিত সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। যেখানে উপলব্ধ, আমরা AOSP পরিবর্তনটিকে লিঙ্ক করেছি যা সমস্যাটিকে বাগ আইডিতে সম্বোধন করেছে৷ যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।
মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা
মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।
প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।
মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | সমালোচনামূলক | 5.0, 5.1, 6.0 | গুগল অভ্যন্তরীণ |
| ANDROID-23680780 | ||||
| অ্যান্ড্রয়েড-২৩৮৭৬৪৪৪ | ||||
| ANDROID-23881715 | সমালোচনামূলক | 4.4, 5.0, 5.1, 6.0 | গুগল অভ্যন্তরীণ | |
| অ্যান্ড্রয়েড-14388161 | সমালোচনামূলক | 4.4 এবং 5.1 | গুগল অভ্যন্তরীণ | |
| ANDROID-23658148 | সমালোচনামূলক | 5.0, 5.1, 6.0 | গুগল অভ্যন্তরীণ |
libutils মধ্যে দূরবর্তী কোড এক্সিকিউশন দুর্বলতা
অডিও ফাইল প্রক্রিয়াকরণের সময় লিবুটিল, একটি জেনেরিক লাইব্রেরির একটি দুর্বলতাকে কাজে লাগানো যেতে পারে। এই দুর্বলতা একটি আক্রমণকারীকে, একটি বিশেষভাবে তৈরি করা ফাইলের প্রক্রিয়াকরণের সময়, মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।
প্রভাবিত কার্যকারিতা একটি API হিসাবে সরবরাহ করা হয়েছে এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক। একটি বিশেষ সুবিধাপ্রাপ্ত পরিষেবাতে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর গুরুতর সমস্যা হিসাবে রেট করা হয়েছে৷ প্রভাবিত উপাদানটির অডিও এবং ভিডিও স্ট্রীমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [ 2 ] | সমালোচনামূলক | 6.0 এবং নীচে | 3 আগস্ট, 2015 |
মিডিয়া সার্ভারে তথ্য প্রকাশের দুর্বলতা
মিডিয়া সার্ভারে তথ্য প্রকাশের দুর্বলতা রয়েছে যা প্ল্যাটফর্মটি শোষণকারীদের আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [ 2 ] [ 3 ] | উচ্চ | 6.0 এবং নীচে | সেপ্টেম্বর 07, 2015 |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | উচ্চ | 6.0 এবং নীচে | 31 আগস্ট, 2015 | |
| ANDROID-23600291 | উচ্চ | 6.0 এবং নীচে | আগস্ট 26, 2015 | |
| ANDROID-23756261 [ 2 ] | উচ্চ | 6.0 এবং নীচে | আগস্ট 26, 2015 | |
| ANDROID-23540907 [ 2 ] | উচ্চ | 5.1 এবং নীচে | 25 আগস্ট, 2015 | |
| ANDROID-23541506 | উচ্চ | 6.0 এবং নীচে | 25 আগস্ট, 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | উচ্চ | 5.1 এবং নীচে | আগস্ট 19, 2015 |
* এই বাগটির প্যাচ অন্যান্য প্রদত্ত AOSP লিঙ্কগুলিতে অন্তর্ভুক্ত করা হয়েছে।
লিবস্টেজফ্রাইটে বিশেষাধিকার দুর্বলতার উচ্চতা
libstagefright-এ বিশেষাধিকারের দুর্বলতার একটি উচ্চতা রয়েছে যা মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে মেমরি দুর্নীতি এবং স্বেচ্ছাচারী কোড কার্যকর করতে একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। যদিও এই সমস্যাটিকে সাধারণত সমালোচনামূলক রেট দেওয়া হবে, আমরা এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে মূল্যায়ন করেছি কারণ এটি দূরবর্তীভাবে শোষিত হওয়ার সম্ভাবনা কম।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [ 2 ] | উচ্চ | 6.0 এবং নীচে | আগস্ট 19, 2015 |
লিবমিডিয়ায় বিশেষাধিকার দুর্বলতার উচ্চতা
libmedia-এ একটি দুর্বলতা রয়েছে যা মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি বিশেষাধিকারগুলি অ্যাক্সেস করতে ব্যবহার করা যেতে পারে যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে সরাসরি অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | উচ্চ | 6.0 এবং নীচে | 23 আগস্ট, 2015 |
ব্লুটুথ-এ প্রিভিলেজ দুর্বলতার উচ্চতা
ব্লুটুথের একটি দুর্বলতা রয়েছে যা একটি স্থানীয় অ্যাপ্লিকেশনকে ডিভাইসে শোনার ডিবাগ পোর্টে কমান্ড পাঠাতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | উচ্চ | 6.0 | গুগল অভ্যন্তরীণ |
টেলিফোনিতে বিশেষাধিকার দুর্বলতার উচ্চতা
টেলিফোনি উপাদানের একটি দুর্বলতা যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সীমাবদ্ধ নেটওয়ার্ক ইন্টারফেসে অননুমোদিত ডেটা প্রেরণ করতে সক্ষম করতে পারে, সম্ভাব্য ডেটা চার্জকে প্রভাবিত করে৷ এটি ডিভাইসটিকে কল গ্রহণ করা থেকে আটকাতে পারে এবং সেইসাথে আক্রমণকারীকে কলের নিঃশব্দ সেটিংস নিয়ন্ত্রণ করতে দেয়। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটিকে ভুলভাবে " বিপজ্জনক " অনুমতি পেতে ব্যবহার করা যেতে পারে।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [ 2 ] [ 3 ] | পরিমিত | 5.0, 5.1 | জুন 8, 2015 |
সাধারণ প্রশ্ন ও উত্তর
এই বিভাগটি এই বুলেটিন পড়ার পর হতে পারে এমন সাধারণ প্রশ্নের উত্তর পর্যালোচনা করবে।
1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?
1 নভেম্বর, 2015 বা তার পরের নিরাপত্তা প্যাচ লেভেল সহ LMY48X বা তার পরে এবং Android Marshmallow তৈরি করে এই সমস্যাগুলির সমাধান করে৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন। এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত: [ro.build.version.security_patch]:[2015-11-01]
রিভিশন
- নভেম্বর 02, 2015: মূলত প্রকাশিত