নেক্সাস নিরাপত্তা বুলেটিন - ফেব্রুয়ারি 2016

প্রকাশিত ফেব্রুয়ারি 01, 2016 | 7 মার্চ, 2016 আপডেট করা হয়েছে

আমরা আমাদের Android সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। 1 ফেব্রুয়ারি, 2016 বা তার পরের নিরাপত্তা প্যাচ লেভেল সহ LMY49G বা তার পরে এবং Android M তৈরি করে এই সমস্যাগুলির সমাধান করে৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন।

4 জানুয়ারী, 2016 বা তার আগে বুলেটিনে বর্ণিত সমস্যাগুলি সম্পর্কে অংশীদারদের অবহিত করা হয়েছিল৷ যেখানে প্রযোজ্য, এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। ব্রডকমের ওয়াই-ফাই ড্রাইভারের রিমোট কোড এক্সিকিউশন দুর্বলতাও গুরুতর তীব্রতা কারণ এটি আক্রমণকারীর মতো একই নেটওয়ার্কে সংযুক্ত থাকাকালীন একটি প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষাগুলির বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের সুরক্ষা উন্নত করে৷ আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷

প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল হওয়ার বিষয়ে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
  • উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।

স্বীকৃতি

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

  • অ্যান্ড্রয়েড এবং ক্রোম নিরাপত্তা দল: CVE-2016-0809, CVE-2016-0810
  • ব্রডগেট টিম: CVE-2016-0801, CVE-2015-0802
  • Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ), এবং C0RE টিমের Xuxian জিয়াং, Qihoo 360 : CVE-2016-0804
  • Google Pixel C দলের ডেভিড রিলি: CVE-2016-0812
  • ল্যাব আইসসোর্ডের গেনজিয়া চেন ( @চেঙ্গজিয়া4574 ), কিহু 360: CVE-2016-0805
  • কিদান হে ( @Flanker_hqd ) KeenLab ( @keen_lab ), Tencent: CVE-2016-0811
  • ট্রেন্ড মাইক্রো ( www.trendmicro.com ) এর সেভেন শেন ( @lingtongshen ): CVE-2016-0803
  • আলিবাবা ইনকর্পোরেটেডের উইচাও সান ( @সানব্লেট ): CVE-2016-0808
  • অ্যান্ড্রয়েড সিকিউরিটি টিমের Zach Riggle ( @ebeip90 ): CVE-2016-0807

নিরাপত্তা দুর্বলতার বিবরণ

নীচের বিভাগগুলিতে, আমরা 2016-02-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, প্রভাবিত সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। উপলভ্য হলে, আমরা AOSP কমিটকে লিঙ্ক করব যা সমস্যাটি বাগ আইডির সাথে সম্বোধন করেছে। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।

ব্রডকম ওয়াই-ফাই ড্রাইভারে রিমোট কোড এক্সিকিউশন দুর্বলতা

ব্রডকম ওয়াই-ফাই ড্রাইভারের একাধিক দূরবর্তী কার্যকরী দুর্বলতা একটি দূরবর্তী আক্রমণকারীকে কার্নেল মেমরিকে এমনভাবে দূষিত করতে বিশেষভাবে তৈরি ওয়্যারলেস কন্ট্রোল বার্তা প্যাকেটগুলি ব্যবহার করার অনুমতি দিতে পারে যা কার্নেলের প্রেক্ষাপটে দূরবর্তী কোড সম্পাদনের দিকে নিয়ে যায়। আক্রমণকারী এবং শিকার একই নেটওয়ার্কের সাথে যুক্ত হলে এই দুর্বলতাগুলি ট্রিগার হতে পারে। ব্যবহারকারীর ইন্টারঅ্যাকশনের প্রয়োজন ছাড়াই কার্নেলের প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে।

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0801 অ্যান্ড্রয়েড-25662029
অ্যান্ড্রয়েড-25662233
সমালোচনামূলক 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 অক্টোবর, 2015
CVE-2016-0802 ANDROID-25306181 সমালোচনামূলক 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 অক্টোবর 26, 2015

মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা

মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।

মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0803 অ্যান্ড্রয়েড-25812794 সমালোচনামূলক 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 নভেম্বর 19, 2015
CVE-2016-0804 ANDROID-25070434 সমালোচনামূলক 5.0, 5.1.1, 6.0, 6.0.1 12 অক্টোবর, 2015

কোয়ালকম পারফরম্যান্স মডিউলে বিশেষাধিকার দুর্বলতার উচ্চতা

কোয়ালকম থেকে এআরএম প্রসেসরের জন্য পারফরম্যান্স ইভেন্ট ম্যানেজার উপাদানে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের মধ্যে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। একটি স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে৷

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0805 ANDROID-25773204* সমালোচনামূলক 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 নভেম্বর, 2015

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কোয়ালকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

Qualcomm Wi-Fi ড্রাইভারের মধ্যে একটি দুর্বলতা রয়েছে যা কার্নেলের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। একটি স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে৷

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0806 ANDROID-25344453* সমালোচনামূলক 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 নভেম্বর, 2015

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

ডিবাগারে বিশেষাধিকার দুর্বলতার উচ্চতা

ডিবাগারড কম্পোনেন্টে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে ডিভাইস রুট প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। একটি স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে৷

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0807 ANDROID-25187394 সমালোচনামূলক 6.0 এবং 6.0.1 গুগল অভ্যন্তরীণ

মিনিকিনে পরিষেবার দুর্বলতা অস্বীকার করা

মিনিকিন লাইব্রেরিতে পরিষেবার দুর্বলতা অস্বীকার করা হলে একজন স্থানীয় আক্রমণকারীকে সাময়িকভাবে প্রভাবিত ডিভাইসে অ্যাক্সেস ব্লক করতে পারে। একজন আক্রমণকারী একটি অবিশ্বস্ত ফন্ট লোড হতে পারে এবং মিনিকিন উপাদানে একটি ওভারফ্লো হতে পারে যা ক্র্যাশের দিকে নিয়ে যায়। এটি একটি উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ পরিষেবা অস্বীকার একটি ক্রমাগত রিবুট লুপের দিকে নিয়ে যায়।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0808 অ্যান্ড্রয়েড-25645298 উচ্চ 5.0, 5.1.1, 6.0, 6.0.1 নভেম্বর 3, 2015

Wi-Fi-এ বিশেষাধিকার দুর্বলতার উচ্চতা

Wi-Fi কম্পোনেন্টে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সিস্টেম প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় সান্নিধ্যে থাকাকালীন একটি ডিভাইস শুধুমাত্র এই সমস্যার জন্য ঝুঁকিপূর্ণ। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি দূর থেকে " স্বাভাবিক " ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে। সাধারণত, এই অনুমতিগুলি শুধুমাত্র স্থানীয়ভাবে ইনস্টল করা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0809 ANDROID-25753768 উচ্চ 6.0, 6.0.1 গুগল অভ্যন্তরীণ

মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা

মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0810 ANDROID-25781119 উচ্চ 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

libmediaplayersservice-এ তথ্য প্রকাশের দুর্বলতা

libmediaplayersservice-এ একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্ম শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এগুলি উন্নত ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0811 ANDROID-25800375 উচ্চ 6.0, 6.0.1 নভেম্বর 16, 2015

সেটআপ উইজার্ডে বিশেষাধিকার দুর্বলতার উচ্চতা

সেটআপ উইজার্ডে একটি দুর্বলতা একটি দূষিত আক্রমণকারীকে ফ্যাক্টরি রিসেট সুরক্ষা বাইপাস করতে এবং ডিভাইসে অ্যাক্সেস পেতে অনুমতি দিতে পারে। এটি একটি মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি সম্ভাব্যভাবে ফ্যাক্টরি রিসেট সুরক্ষা বাইপাস করার জন্য একটি ডিভাইসে শারীরিক অ্যাক্সেস সহ কাউকে অনুমতি দেয়, যা একটি আক্রমণকারীকে সফলভাবে একটি ডিভাইস রিসেট করতে সক্ষম করে, সমস্ত ডেটা মুছে দেয়৷

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0812 ANDROID-25229538 পরিমিত 5.1.1, 6.0 গুগল অভ্যন্তরীণ
CVE-2016-0813 ANDROID-25476219 পরিমিত 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

সাধারণ প্রশ্ন ও উত্তর

এই বিভাগটি এই বুলেটিন পড়ার পর হতে পারে এমন সাধারণ প্রশ্নের উত্তর পর্যালোচনা করে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

1 ফেব্রুয়ারি, 2016 এর নিরাপত্তা প্যাচ লেভেল সহ LMY49G বা তার পরে এবং Android 6.0 তৈরি করে বা তার পরে এই সমস্যাগুলি সমাধান করে। নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন। এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত: [ro.build.version.security_patch]:[2016-02-01]

রিভিশন

  • ফেব্রুয়ারি 01, 2016: বুলেটিন প্রকাশিত।
  • ফেব্রুয়ারী 02, 2016: AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
  • মার্চ 07, 2016: অতিরিক্ত AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।