নেক্সাস সিকিউরিটি বুলেটিন-জানুয়ারি 2016,নেক্সাস সিকিউরিটি বুলেটিন-জানুয়ারি 2016

সেভ করা পৃষ্ঠা গুছিয়ে রাখতে 'সংগ্রহ' ব্যবহার করুন আপনার পছন্দ অনুযায়ী কন্টেন্ট সেভ করুন ও সঠিক বিভাগে রাখুন।

প্রকাশিত জানুয়ারী 04, 2016 | 28 এপ্রিল, 2016 আপডেট করা হয়েছে

আমরা আমাদের Android সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। জানুয়ারী 1, 2016 বা তার পরে নিরাপত্তা প্যাচ লেভেল সহ LMY49F বা তার পরবর্তী এবং Android 6.0 তৈরি করে এই সমস্যাগুলির সমাধান করে৷ আরো বিস্তারিত জানার জন্য সাধারণ প্রশ্ন এবং উত্তর বিভাগে পড়ুন।

7 ডিসেম্বর, 2015 বা তার আগে এই বুলেটিনে বর্ণিত সমস্যাগুলির জন্য অংশীদারদের অবহিত করা হয়েছিল এবং আপডেটগুলি প্রদান করা হয়েছিল৷ যেখানে প্রযোজ্য, এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষাগুলির বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের সুরক্ষা উন্নত করে৷ আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷

প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল হওয়ার বিষয়ে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
  • উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।

স্বীকৃতি

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

  • গুগল ক্রোম সিকিউরিটি টিমের অভিষেক আর্য, অলিভার চ্যাং এবং মার্টিন বারবেলা: CVE-2015-6636
  • সেন নি ( @nforest_ ) এবং KEEN ল্যাবের জেফাং, টেনসেন্ট ( @K33nTeam ): CVE-2015-6637
  • অ্যান্ড্রয়েড বায়োনিক টিম থেকে ইয়াবিন কুই: CVE-2015-6640
  • Google X-এর টম ক্রেগ: CVE-2015-6641
  • জ্যান হর্ন ( https://thejh.net ): CVE-2015-6642
  • Jouni Malinen PGP id EFC895FA: CVE-2015-5310
  • গুগল ইনফরমেশন সিকিউরিটি ইঞ্জিনিয়ার টিমের কোয়ান গুয়েন: CVE-2015-6644
  • গাল বেনিয়ামিনি ( @laginimaineb , http://bits-please.blogspot.com ): CVE-2015-6639

নিরাপত্তা দুর্বলতার বিবরণ

নীচের বিভাগগুলিতে, আমরা 2016-01-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, আপডেট করা সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। উপলভ্য হলে, আমরা AOSP পরিবর্তনটিকে লিঙ্ক করব যা সমস্যাটি বাগ আইডির সাথে সম্বোধন করেছে। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।

মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা

মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।

মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6636 ANDROID-25070493 সমালোচনামূলক 5.0, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ
ANDROID-24686670 সমালোচনামূলক 5.0, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

মিসক-এসডি ড্রাইভারে প্রিভিলেজ দুর্বলতার উচ্চতা

MediaTek থেকে মিস-এসডি ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের মধ্যে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এই ক্ষেত্রে ডিভাইসটিকে অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে মেরামত করতে হবে।

সিভিই বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6637 ANDROID-25307013* সমালোচনামূলক 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 অক্টোবর, 2015

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

ইমাজিনেশন টেকনোলজিস ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

ইমাজিনেশন টেকনোলজিস থেকে একটি কার্নেল ড্রাইভারের বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের মধ্যে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এই ক্ষেত্রে ডিভাইসটিকে অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে মেরামত করতে হবে।

সিভিই বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6638 ANDROID-24673908* সমালোচনামূলক 5.0, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

ট্রাস্টজোনে বিশেষাধিকার দুর্বলতার উচ্চতা

Widevine QSEE TrustZone অ্যাপ্লিকেশনে বিশেষাধিকারের দুর্বলতাগুলির উচ্চতা ট্রাস্টজোন প্রসঙ্গে স্বেচ্ছাচারী কোড চালানোর জন্য QSEECOM-এ অ্যাক্সেস সহ একটি আপস, সুবিধাপ্রাপ্ত অ্যাপ্লিকেশন সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এই ক্ষেত্রে ডিভাইসটিকে অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে মেরামত করতে হবে।

সিভিই বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6639 ANDROID-24446875* সমালোচনামূলক 5.0, 5.1.1, 6.0, 6.0.1 23 সেপ্টেম্বর, 2015
CVE-2015-6647 ANDROID-24441554* সমালোচনামূলক 5.0, 5.1.1, 6.0, 6.0.1 সেপ্টেম্বর 27, 2015

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কার্নেলে বিশেষাধিকার দুর্বলতার উচ্চতা

কার্নেলে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এই ক্ষেত্রে ডিভাইসটিকে অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে মেরামত করতে হবে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6640 ANDROID-20017123 সমালোচনামূলক 4.4.4, 5.0, 5.1.1, 6.0 গুগল অভ্যন্তরীণ

ব্লুটুথ-এ প্রিভিলেজ দুর্বলতার উচ্চতা

ব্লুটুথ কম্পোনেন্টে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা ব্যবহারকারীর ব্যক্তিগত তথ্য (পরিচিতি) অ্যাক্সেস পেতে ব্লুটুথের সাথে যুক্ত একটি দূরবর্তী ডিভাইস সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি দূরবর্তীভাবে " বিপজ্জনক " ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, এই অনুমতিগুলি শুধুমাত্র স্থানীয়ভাবে ইনস্টল করা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6641 ANDROID-23607427 [ 2 ] উচ্চ 6.0, 6.0.1 গুগল অভ্যন্তরীণ

কার্নেলে তথ্য প্রকাশের দুর্বলতা

কার্নেলে একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এগুলি উন্নত ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷

সিভিই বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6642 ANDROID-24157888* উচ্চ 4.4.4, 5.0, 5.1.1, 6.0 সেপ্টেম্বর 12, 2015

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

সেটআপ উইজার্ডে বিশেষাধিকার দুর্বলতার উচ্চতা

সেটআপ উইজার্ডে বিশেষাধিকার দুর্বলতার একটি উচ্চতা ডিভাইসে শারীরিক অ্যাক্সেস সহ আক্রমণকারীকে ডিভাইস সেটিংসে অ্যাক্সেস পেতে এবং একটি ম্যানুয়াল ডিভাইস রিসেট করতে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ফ্যাক্টরি রিসেট সুরক্ষার চারপাশে ভুলভাবে কাজ করতে ব্যবহার করা যেতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6643 অ্যান্ড্রয়েড-25290269 [ 2 ] পরিমিত 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

Wi-Fi-এ বিশেষাধিকার দুর্বলতার উচ্চতা

Wi-Fi কম্পোনেন্টে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা স্থানীয়ভাবে কাছাকাছি আক্রমণকারীকে Wi-Fi পরিষেবা সম্পর্কিত তথ্য অ্যাক্সেস করতে সক্ষম করতে পারে। স্থানীয় সান্নিধ্যে থাকাকালীন একটি ডিভাইস শুধুমাত্র এই সমস্যার জন্য ঝুঁকিপূর্ণ। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি দূরবর্তীভাবে " স্বাভাবিক " ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, এই অনুমতিগুলি শুধুমাত্র স্থানীয়ভাবে ইনস্টল করা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-5310 ANDROID-25266660 পরিমিত 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 অক্টোবর, 2015

বাউন্সি ক্যাসেলে তথ্য প্রকাশের দুর্বলতা

বাউন্সি ক্যাসলের একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশন ব্যবহারকারীর ব্যক্তিগত তথ্য অ্যাক্সেস পেতে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ভুলভাবে " বিপজ্জনক " অনুমতি পেতে ব্যবহার করা যেতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6644 ANDROID-24106146 পরিমিত 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

SyncManager-এ পরিষেবার দুর্বলতা অস্বীকার করা

SyncManager-এ পরিষেবার দুর্বলতা অস্বীকার করার ফলে একটি স্থানীয় দূষিত অ্যাপ্লিকেশন একটি রিবুট লুপ সৃষ্টি করতে সক্ষম হতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি একটি স্থানীয় অস্থায়ী পরিষেবা অস্বীকার করার জন্য ব্যবহার করা যেতে পারে যা ফ্যাক্টরি রিসেট করার পরেও সম্ভবত ঠিক করা প্রয়োজন৷

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6645 ANDROID-23591205 পরিমিত 4.4.4, 5.0, 5.1.1, 6.0 গুগল অভ্যন্তরীণ

নেক্সাস কার্নেলের জন্য আক্রমণ সারফেস হ্রাস

SysV IPC কোনো অ্যান্ড্রয়েড কার্নেলে সমর্থিত নয়। আমরা এটিকে OS থেকে সরিয়ে দিয়েছি কারণ এটি অতিরিক্ত আক্রমণের পৃষ্ঠকে প্রকাশ করে যা দূষিত অ্যাপ্লিকেশন দ্বারা শোষিত হতে পারে এমন সিস্টেমে কার্যকারিতা যোগ করে না। এছাড়াও, সিস্টেম V আইপিসিগুলি অ্যান্ড্রয়েডের অ্যাপ্লিকেশন লাইফসাইকেলের সাথে সঙ্গতিপূর্ণ নয় কারণ বরাদ্দকৃত সংস্থানগুলি মেমরি ম্যানেজার দ্বারা বিনামূল্যেযোগ্য নয় যার ফলে গ্লোবাল কার্নেল রিসোর্স লিকেজ হয়৷ এই পরিবর্তনটি CVE-2015-7613-এর মতো সমস্যার সমাধান করে।

সিভিই বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6646 ANDROID-22300191* পরিমিত 6.0 গুগল অভ্যন্তরীণ

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

সাধারণ প্রশ্ন ও উত্তর

এই বিভাগটি এই বুলেটিন পড়ার পর হতে পারে এমন সাধারণ প্রশ্নের উত্তর পর্যালোচনা করে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

জানুয়ারী 1, 2016 বা তার পরে নিরাপত্তা প্যাচ লেভেল সহ LMY49F বা তার পরবর্তী এবং Android 6.0 তৈরি করে এই সমস্যাগুলির সমাধান করে৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন। যে ডিভাইস নির্মাতারা এই আপডেটগুলি অন্তর্ভুক্ত করে তাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত: [ro.build.version.security_patch]:[2016-01-01]

রিভিশন

  • জানুয়ারী 04, 2016: বুলেটিন প্রকাশিত।
  • জানুয়ারী 06, 2016: AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
  • এপ্রিল 28, 2016: স্বীকৃতি থেকে CVE-2015-6617 সরানো হয়েছে এবং সারাংশ টেবিলে CVE-2015-6647 যোগ করা হয়েছে,

    প্রকাশিত জানুয়ারী 04, 2016 | 28 এপ্রিল, 2016 আপডেট করা হয়েছে

    আমরা আমাদের Android সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। জানুয়ারী 1, 2016 বা তার পরে নিরাপত্তা প্যাচ লেভেল সহ LMY49F বা তার পরবর্তী এবং Android 6.0 তৈরি করে এই সমস্যাগুলির সমাধান করে৷ আরো বিস্তারিত জানার জন্য সাধারণ প্রশ্ন এবং উত্তর বিভাগে পড়ুন।

    7 ডিসেম্বর, 2015 বা তার আগে এই বুলেটিনে বর্ণিত সমস্যাগুলির জন্য অংশীদারদের অবহিত করা হয়েছিল এবং আপডেটগুলি প্রদান করা হয়েছিল৷ যেখানে প্রযোজ্য, এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে৷

    এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

    আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষাগুলির বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের সুরক্ষা উন্নত করে৷ আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷

    প্রশমন

    এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

    • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
    • Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল হওয়ার বিষয়ে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
    • উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।

    স্বীকৃতি

    আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

    • গুগল ক্রোম সিকিউরিটি টিমের অভিষেক আর্য, অলিভার চ্যাং এবং মার্টিন বারবেলা: CVE-2015-6636
    • সেন নি ( @nforest_ ) এবং KEEN ল্যাবের জেফাং, টেনসেন্ট ( @K33nTeam ): CVE-2015-6637
    • অ্যান্ড্রয়েড বায়োনিক টিম থেকে ইয়াবিন কুই: CVE-2015-6640
    • Google X-এর টম ক্রেগ: CVE-2015-6641
    • জ্যান হর্ন ( https://thejh.net ): CVE-2015-6642
    • Jouni Malinen PGP id EFC895FA: CVE-2015-5310
    • গুগল ইনফরমেশন সিকিউরিটি ইঞ্জিনিয়ার টিমের কোয়ান গুয়েন: CVE-2015-6644
    • গাল বেনিয়ামিনি ( @laginimaineb , http://bits-please.blogspot.com ): CVE-2015-6639

    নিরাপত্তা দুর্বলতার বিবরণ

    নীচের বিভাগগুলিতে, আমরা 2016-01-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, আপডেট করা সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। উপলভ্য হলে, আমরা AOSP পরিবর্তনটিকে লিঙ্ক করব যা সমস্যাটি বাগ আইডির সাথে সম্বোধন করেছে। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।

    মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা

    মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।

    প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।

    মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

    সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
    CVE-2015-6636 ANDROID-25070493 সমালোচনামূলক 5.0, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ
    ANDROID-24686670 সমালোচনামূলক 5.0, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

    মিসক-এসডি ড্রাইভারে প্রিভিলেজ দুর্বলতার উচ্চতা

    MediaTek থেকে মিস-এসডি ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের মধ্যে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এই ক্ষেত্রে ডিভাইসটিকে অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে মেরামত করতে হবে।

    সিভিই বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
    CVE-2015-6637 ANDROID-25307013* সমালোচনামূলক 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 অক্টোবর, 2015

    * এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

    ইমাজিনেশন টেকনোলজিস ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

    ইমাজিনেশন টেকনোলজিস থেকে একটি কার্নেল ড্রাইভারের বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের মধ্যে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এই ক্ষেত্রে ডিভাইসটিকে অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে মেরামত করতে হবে।

    সিভিই বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
    CVE-2015-6638 ANDROID-24673908* সমালোচনামূলক 5.0, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

    * এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

    ট্রাস্টজোনে বিশেষাধিকার দুর্বলতার উচ্চতা

    Widevine QSEE TrustZone অ্যাপ্লিকেশনে বিশেষাধিকারের দুর্বলতাগুলির উচ্চতা ট্রাস্টজোন প্রসঙ্গে স্বেচ্ছাচারী কোড চালানোর জন্য QSEECOM-এ অ্যাক্সেস সহ একটি আপস, সুবিধাপ্রাপ্ত অ্যাপ্লিকেশন সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এই ক্ষেত্রে ডিভাইসটিকে অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে মেরামত করতে হবে।

    সিভিই বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
    CVE-2015-6639 ANDROID-24446875* সমালোচনামূলক 5.0, 5.1.1, 6.0, 6.0.1 23 সেপ্টেম্বর, 2015
    CVE-2015-6647 ANDROID-24441554* সমালোচনামূলক 5.0, 5.1.1, 6.0, 6.0.1 সেপ্টেম্বর 27, 2015

    * এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

    কার্নেলে বিশেষাধিকার দুর্বলতার উচ্চতা

    কার্নেলে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এই ক্ষেত্রে ডিভাইসটিকে অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে মেরামত করতে হবে।

    সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
    CVE-2015-6640 ANDROID-20017123 সমালোচনামূলক 4.4.4, 5.0, 5.1.1, 6.0 গুগল অভ্যন্তরীণ

    ব্লুটুথ-এ প্রিভিলেজ দুর্বলতার উচ্চতা

    ব্লুটুথ কম্পোনেন্টে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা ব্যবহারকারীর ব্যক্তিগত তথ্য (পরিচিতি) অ্যাক্সেস পেতে ব্লুটুথের সাথে যুক্ত একটি দূরবর্তী ডিভাইস সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি দূরবর্তীভাবে " বিপজ্জনক " ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, এই অনুমতিগুলি শুধুমাত্র স্থানীয়ভাবে ইনস্টল করা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য।

    সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
    CVE-2015-6641 ANDROID-23607427 [ 2 ] উচ্চ 6.0, 6.0.1 গুগল অভ্যন্তরীণ

    কার্নেলে তথ্য প্রকাশের দুর্বলতা

    কার্নেলে একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এগুলি উন্নত ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷

    সিভিই বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
    CVE-2015-6642 ANDROID-24157888* উচ্চ 4.4.4, 5.0, 5.1.1, 6.0 সেপ্টেম্বর 12, 2015

    * এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

    সেটআপ উইজার্ডে বিশেষাধিকার দুর্বলতার উচ্চতা

    সেটআপ উইজার্ডে বিশেষাধিকার দুর্বলতার একটি উচ্চতা ডিভাইসে শারীরিক অ্যাক্সেস সহ আক্রমণকারীকে ডিভাইস সেটিংসে অ্যাক্সেস পেতে এবং একটি ম্যানুয়াল ডিভাইস রিসেট করতে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ফ্যাক্টরি রিসেট সুরক্ষার চারপাশে ভুলভাবে কাজ করতে ব্যবহার করা যেতে পারে।

    সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
    CVE-2015-6643 অ্যান্ড্রয়েড-25290269 [ 2 ] পরিমিত 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

    Wi-Fi-এ বিশেষাধিকার দুর্বলতার উচ্চতা

    Wi-Fi কম্পোনেন্টে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা স্থানীয়ভাবে কাছাকাছি আক্রমণকারীকে Wi-Fi পরিষেবা সম্পর্কিত তথ্য অ্যাক্সেস করতে সক্ষম করতে পারে। স্থানীয় সান্নিধ্যে থাকাকালীন একটি ডিভাইস শুধুমাত্র এই সমস্যার জন্য ঝুঁকিপূর্ণ। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি দূরবর্তীভাবে " স্বাভাবিক " ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, এই অনুমতিগুলি শুধুমাত্র স্থানীয়ভাবে ইনস্টল করা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য।

    সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
    CVE-2015-5310 ANDROID-25266660 পরিমিত 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 অক্টোবর, 2015

    বাউন্সি ক্যাসেলে তথ্য প্রকাশের দুর্বলতা

    বাউন্সি ক্যাসলের একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশন ব্যবহারকারীর ব্যক্তিগত তথ্য অ্যাক্সেস পেতে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ভুলভাবে " বিপজ্জনক " অনুমতি পেতে ব্যবহার করা যেতে পারে।

    সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
    CVE-2015-6644 ANDROID-24106146 পরিমিত 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

    SyncManager-এ পরিষেবার দুর্বলতা অস্বীকার করা

    SyncManager-এ পরিষেবার দুর্বলতা অস্বীকার করার ফলে একটি স্থানীয় দূষিত অ্যাপ্লিকেশন একটি রিবুট লুপ সৃষ্টি করতে সক্ষম হতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি একটি স্থানীয় অস্থায়ী পরিষেবা অস্বীকার করার জন্য ব্যবহার করা যেতে পারে যা ফ্যাক্টরি রিসেট করার পরেও সম্ভবত ঠিক করা প্রয়োজন৷

    সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
    CVE-2015-6645 ANDROID-23591205 পরিমিত 4.4.4, 5.0, 5.1.1, 6.0 গুগল অভ্যন্তরীণ

    নেক্সাস কার্নেলের জন্য আক্রমণ সারফেস হ্রাস

    SysV IPC কোনো অ্যান্ড্রয়েড কার্নেলে সমর্থিত নয়। আমরা এটিকে OS থেকে সরিয়ে দিয়েছি কারণ এটি অতিরিক্ত আক্রমণের পৃষ্ঠকে প্রকাশ করে যা দূষিত অ্যাপ্লিকেশন দ্বারা শোষিত হতে পারে এমন সিস্টেমে কার্যকারিতা যোগ করে না। এছাড়াও, সিস্টেম V আইপিসিগুলি অ্যান্ড্রয়েডের অ্যাপ্লিকেশন লাইফসাইকেলের সাথে সঙ্গতিপূর্ণ নয় কারণ বরাদ্দকৃত সংস্থানগুলি মেমরি ম্যানেজার দ্বারা বিনামূল্যেযোগ্য নয় যার ফলে গ্লোবাল কার্নেল রিসোর্স লিকেজ হয়৷ এই পরিবর্তনটি CVE-2015-7613-এর মতো সমস্যার সমাধান করে।

    সিভিই বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
    CVE-2015-6646 ANDROID-22300191* পরিমিত 6.0 গুগল অভ্যন্তরীণ

    * এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

    সাধারণ প্রশ্ন ও উত্তর

    এই বিভাগটি এই বুলেটিন পড়ার পর হতে পারে এমন সাধারণ প্রশ্নের উত্তর পর্যালোচনা করে।

    1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

    জানুয়ারী 1, 2016 বা তার পরে নিরাপত্তা প্যাচ লেভেল সহ LMY49F বা তার পরবর্তী এবং Android 6.0 তৈরি করে এই সমস্যাগুলির সমাধান করে৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন। যে ডিভাইস নির্মাতারা এই আপডেটগুলি অন্তর্ভুক্ত করে তাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত: [ro.build.version.security_patch]:[2016-01-01]

    রিভিশন

    • জানুয়ারী 04, 2016: বুলেটিন প্রকাশিত।
    • জানুয়ারী 06, 2016: AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
    • এপ্রিল 28, 2016: স্বীকৃতি থেকে CVE-2015-6617 সরানো হয়েছে এবং সারাংশ টেবিলে CVE-2015-6647 যোগ করা হয়েছে