নেক্সাস নিরাপত্তা বুলেটিন—এপ্রিল 2016

সেভ করা পৃষ্ঠা গুছিয়ে রাখতে 'সংগ্রহ' ব্যবহার করুন আপনার পছন্দ অনুযায়ী কন্টেন্ট সেভ করুন ও সঠিক বিভাগে রাখুন।

প্রকাশিত এপ্রিল 04, 2016 | 19 ডিসেম্বর, 2016 আপডেট করা হয়েছে

আমরা আমাদের Android সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। 02 এপ্রিল, 2016-এর নিরাপত্তা প্যাচ স্তরগুলি বা তার পরে এই সমস্যাগুলি সমাধান করে (কীভাবে নিরাপত্তা প্যাচ স্তর পরীক্ষা করতে হয় তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন)।

16 মার্চ, 2016 বা তার আগে বুলেটিনে বর্ণিত সমস্যাগুলি সম্পর্কে অংশীদারদের অবহিত করা হয়েছিল৷ যেখানে প্রযোজ্য, এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

অ্যান্ড্রয়েড সিকিউরিটি অ্যাডভাইজরি 2016-03-18 এর আগে একটি রুটিং অ্যাপ্লিকেশন দ্বারা CVE-2015-1805 ব্যবহার নিয়ে আলোচনা করা হয়েছে। CVE-2015-1805 এই আপডেটে সমাধান করা হয়েছে। সক্রিয় গ্রাহক শোষণ বা অন্যান্য নতুন রিপোর্ট করা সমস্যাগুলির অপব্যবহারের কোন রিপোর্ট নেই। অ্যান্ড্রয়েড নিরাপত্তা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষা সম্পর্কে আরও বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের সুরক্ষা উন্নত করে৷

প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • অ্যান্ড্রয়েড সিকিউরিটি টিম সক্রিয়ভাবে ভেরিফাই অ্যাপস এবং সেফটিনেটের সাথে অপব্যবহারের জন্য নজরদারি করছে, যা ব্যবহারকারীকে সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশানগুলি ইনস্টল করা সম্পর্কে শনাক্ত করা সম্পর্কে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
  • উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।

স্বীকৃতি

অ্যান্ড্রয়েড সিকিউরিটি টিম এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

  • গুগল ক্রোম সিকিউরিটি টিমের অভিষেক আর্য, অলিভার চ্যাং এবং মার্টিন বারবেলা: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
  • সেন্সাস এসএ-এর অ্যানেস্টিস বেচটসউডিস ( @anestisb ): CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
  • গুগল টেলিকম টিমের ব্র্যাড এবিঙ্গার এবং স্যান্টোস কর্ডন: CVE-2016-0847
  • অপারেটিং সিস্টেম এবং কম্পিউটার নেটওয়ার্কের জন্য ইনস্টিটিউটের ডমিনিক শুরম্যান , টিইউ ব্রাউনশউইগ: CVE-2016-2425
  • Gengjia Chen ( @chengjia4574 ), pjf , IceSword Lab, Qihoo 360 এর জিয়ানকিয়াং ঝাও ( @jianqiangzhao ): CVE-2016-0844
  • ইকোলে পলিটেকনিক ফেডারেল দে লসানের জর্জ পিসকাস : CVE-2016-2426
  • Qihoo 360 Technology Co.Ltd-এর গুয়াং গং (龚广) ( @oldfresher ) : CVE-2016-2412, CVE-2016-2416
  • গুগল প্রজেক্ট জিরোর জেমস ফরশো: CVE-2016-2417, CVE-2016-0846
  • IceSword Lab, Qihoo 360 এর জিয়ানকিয়াং ঝাও ( @jianqiangzhao ), pjf , এবং Gengjia Chen ( @chengjia4574 ): CVE-2016-2410, CVE-2016-2411
  • Jianqiang Zhao ( @jianqiangzhao ) এবং IceSword Lab, Qihoo 360 এর pjf: CVE-2016-2409
  • Vertu Corporation LTD-এর ন্যান্সি ওয়াং: CVE-2016-0837
  • নাসিম জমির : CVE-2016-2409
  • Qualcomm প্রোডাক্ট সিকিউরিটি ইনিশিয়েটিভের নিকো গোল্ডে ( @iamnion ): CVE-2016-2420, CVE-2016-0849
  • ট্রেন্ড মাইক্রো এর পিটার পাই ( @heisecode ): CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
  • রিচার্ড শুপাক: CVE-2016-2415
  • MWR ল্যাবসের রোমেন ট্রুভ: CVE-2016-0850
  • স্টুয়ার্ট হেন্ডারসন: CVE-2016-2422
  • অ্যান্ড্রয়েড সিকিউরিটির বিশ্বথ মোহন: CVE-2016-2424
  • আলিবাবা ইনকর্পোরেটেডের ওয়েইচাও সান ( @সানব্লেট ): CVE-2016-2414
  • ট্রেন্ড মাইক্রো ইনকর্পোরেটেডের উইশ উ ( @wish_wu ): CVE-2016-0843
  • ইন্ডিয়ানা ইউনিভার্সিটি ব্লুমিংটনের ইয়েনজুন লি এবং জিয়াওফেং ওয়াং , পিকিং ইউনিভার্সিটির টংক্সিন লি এবং সিনহুই হান : CVE-2016-0848

এছাড়াও অ্যান্ড্রয়েড সিকিউরিটি টিম ইউয়ান-সুং লো , ওয়েঙ্কে ডু , চিয়াচিহ উ ( @chiachih_wu ), এবং C0RE টিম এবং জিম্পেরিয়ামের Xuxian জিয়াংকে CVE-2015-1805-এ তাদের অবদানের জন্য ধন্যবাদ জানায়।

নিরাপত্তা দুর্বলতার বিবরণ

নীচের বিভাগগুলিতে 2016-04-02 প্যাচ স্তরে প্রযোজ্য প্রতিটি সুরক্ষা দুর্বলতার বিবরণ রয়েছে৷ সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, প্রভাবিত সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। উপলভ্য হলে, আমরা AOSP কমিটকে লিঙ্ক করব যা সমস্যাটি বাগ আইডির সাথে সম্বোধন করেছে। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।

DHCPCD-তে দূরবর্তী কোড এক্সিকিউশন দুর্বলতা

ডায়নামিক হোস্ট কনফিগারেশন প্রোটোকল পরিষেবার একটি দুর্বলতা আক্রমণকারীকে মেমরি দুর্নীতির কারণ হতে সক্ষম করতে পারে, যা দূরবর্তী কোড কার্যকর করতে পারে। DHCP ক্লায়েন্টের প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। DHCP পরিষেবার বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2014-6060 অ্যান্ড্রয়েড-15268738 সমালোচনামূলক 4.4.4 জুলাই 30, 2014
CVE-2014-6060 ANDROID-16677003 সমালোচনামূলক 4.4.4 জুলাই 30, 2014
CVE-2016-1503 অ্যান্ড্রয়েড-26461634 সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 4 জানুয়ারী, 2016

মিডিয়া কোডেক এ রিমোট কোড এক্সিকিউশন দুর্বলতা

মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়া সার্ভার দ্বারা ব্যবহৃত একটি মিডিয়া কোডেকের দুর্বলতাগুলি আক্রমণকারীকে মেমরি দুর্নীতি এবং মিডিয়াসার্ভার প্রক্রিয়া হিসাবে দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে প্রদান করা হয়, এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।

মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেস রয়েছে, সেইসাথে বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0834 ANDROID-26220548* সমালোচনামূলক 6.0, 6.0.1 16 ডিসেম্বর, 2015

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা

মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে প্রদান করা হয়, এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।

মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেস রয়েছে, সেইসাথে বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0835 অ্যান্ড্রয়েড-26070014 [ 2 ] সমালোচনামূলক 6.0, 6.0.1 ডিসেম্বর 6, 2015
CVE-2016-0836 ANDROID-25812590 সমালোচনামূলক 6.0, 6.0.1 নভেম্বর 19, 2015
CVE-2016-0837 ANDROID-27208621 সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ফেব্রুয়ারী 11, 2016
CVE-2016-0838 ANDROID-26366256 [ 2 ] সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ
CVE-2016-0839 ANDROID-25753245 সমালোচনামূলক 6.0, 6.0.1 গুগল অভ্যন্তরীণ
CVE-2016-0840 ANDROID-26399350 সমালোচনামূলক 6.0, 6.0.1 গুগল অভ্যন্তরীণ
CVE-2016-0841 অ্যান্ড্রয়েড-26040840 সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

রিমোট কোড এক্সিকিউশন দুর্বলতা লিবস্টেজফ্রাইটে

মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, libstagefright-এর দুর্বলতাগুলি একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে প্রদান করা হয়, এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।

মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেস রয়েছে, সেইসাথে বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0842 ANDROID-25818142 সমালোচনামূলক 6.0, 6.0.1 নভেম্বর 23, 2015

কার্নেলে বিশেষাধিকার দুর্বলতার উচ্চতা

কার্নেলে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের মধ্যে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে। এই সমস্যাটি Android সিকিউরিটি অ্যাডভাইজরি 2016-03-18 -এ বর্ণিত হয়েছে।

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-1805 ANDROID-27275324* সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ফেব্রুয়ারী 19, 2016

* AOSP-এর প্যাচটি নির্দিষ্ট কার্নেল সংস্করণের জন্য উপলব্ধ: 3.14 , 3.10 , এবং 3.4

কোয়ালকম পারফরম্যান্স মডিউলে বিশেষাধিকার দুর্বলতার উচ্চতা

কোয়ালকম থেকে এআরএম প্রসেসরের জন্য পারফরম্যান্স ইভেন্ট ম্যানেজার উপাদানে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের মধ্যে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে।

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0843 ANDROID-25801197* সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 নভেম্বর 19, 2015

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কোয়ালকম আরএফ কম্পোনেন্টে প্রিভিলেজ ভালনারেবিলিটির উচ্চতা

Qualcomm RF ড্রাইভারের মধ্যে একটি দুর্বলতা রয়েছে যা কার্নেলের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0844 ANDROID-26324307 * সমালোচনামূলক 6.0, 6.0.1 25 ডিসেম্বর, 2015

* এই সমস্যার জন্য একটি অতিরিক্ত প্যাচ লিনাক্স আপস্ট্রিমে অবস্থিত।

কার্নেলে বিশেষাধিকার দুর্বলতার উচ্চতা

সাধারণ কার্নেলে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2014-9322 অ্যান্ড্রয়েড-26927260 [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ]
সমালোচনামূলক 6.0, 6.0.1 25 ডিসেম্বর, 2015

IMemory নেটিভ ইন্টারফেসে বিশেষাধিকার দুর্বলতার উচ্চতা

IMemory নেটিভ ইন্টারফেসে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0846 ANDROID-26877992 উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 জানুয়ারী 29, 2016

টেলিকম কম্পোনেন্টে প্রিভিলেজ দুর্বলতার উচ্চতা

টেলিকম কম্পোনেন্টে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা আক্রমণকারীকে যে কোনও নির্বিচারে নম্বর থেকে কল করতে দেখাতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0847 ANDROID-26864502 [ 2 ] উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

ডাউনলোড ম্যানেজারে প্রিভিলেজ দুর্বলতার উচ্চতা

ডাউনলোড ম্যানেজারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা আক্রমণকারীকে ব্যক্তিগত স্টোরেজে অননুমোদিত ফাইলগুলিতে অ্যাক্সেস পেতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0848 ANDROID-26211054 উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 ডিসেম্বর, 2015

পুনরুদ্ধার পদ্ধতিতে বিশেষাধিকার দুর্বলতার উচ্চতা

পুনরুদ্ধার পদ্ধতিতে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0849 অ্যান্ড্রয়েড-26960931 উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1 ফেব্রুয়ারী 3, 2016

ব্লুটুথ-এ প্রিভিলেজ দুর্বলতার উচ্চতা

ব্লুটুথ-এ বিশেষাধিকার দুর্বলতার একটি উচ্চতা প্রাথমিক জুড়ি প্রক্রিয়া চলাকালীন একটি অবিশ্বস্ত ডিভাইসকে ফোনের সাথে যুক্ত করতে সক্ষম করতে পারে। এটি ডিভাইস সংস্থানগুলির অননুমোদিত অ্যাক্সেসের দিকে নিয়ে যেতে পারে, যেমন ইন্টারনেট সংযোগ৷ এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে যা অবিশ্বস্ত ডিভাইসগুলিতে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0850 ANDROID-26551752 উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 13 জানুয়ারী, 2016

টেক্সাস ইন্সট্রুমেন্টস হ্যাপটিক ড্রাইভারের বিশেষাধিকার দুর্বলতার উচ্চতা

একটি টেক্সাস ইনস্ট্রুমেন্টস হ্যাপটিক কার্নেল ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা রয়েছে যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। সাধারণত এই ধরনের একটি কার্নেল কোড এক্সিকিউশন বাগকে ক্রিটিক্যাল রেট দেওয়া হবে, কিন্তু যেহেতু এটির জন্য প্রথমে ড্রাইভারকে কল করতে পারে এমন একটি পরিষেবার সাথে আপস করতে হবে, এটি পরিবর্তে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে।

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2409 ANDROID-25981545* উচ্চ 6.0, 6.0.1 25 ডিসেম্বর, 2015

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কোয়ালকম ভিডিও কার্নেল ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

Qualcomm ভিডিও কার্নেল ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা রয়েছে যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। সাধারনত একটি কার্নেল কোড এক্সিকিউশন দুর্বলতাকে ক্রিটিক্যাল রেট করা হবে, কিন্তু যেহেতু এটির জন্য প্রথমে ড্রাইভারকে কল করতে পারে এমন একটি পরিষেবার সাথে আপস করতে হবে, এটি পরিবর্তে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে।

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2410 ANDROID-26291677* উচ্চ 6.0, 6.0.1 21 ডিসেম্বর, 2015

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কোয়ালকম পাওয়ার ম্যানেজমেন্ট কম্পোনেন্টে প্রিভিলেজ ভালনারেবিলিটির উচ্চতা

কোয়ালকম পাওয়ার ম্যানেজমেন্ট কার্নেল ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা রয়েছে যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। সাধারণত এই ধরনের একটি কার্নেল কোড এক্সিকিউশন বাগকে ক্রিটিকাল রেট দেওয়া হবে, কিন্তু কারণ এটির জন্য প্রথমে ডিভাইসের সাথে আপস করা এবং রুট করার জন্য উচ্চতা প্রয়োজন, এটি পরিবর্তে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে।

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2411 ANDROID-26866053* উচ্চ 6.0, 6.0.1 জানুয়ারী 28, 2016

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

সিস্টেম_সার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা

System_server-এ বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2412 ANDROID-26593930 উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 জানুয়ারী, 2016

মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা

মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2413 অ্যান্ড্রয়েড-26403627 উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1 জানুয়ারী 5, 2016

মিনিকিনে পরিষেবার দুর্বলতা অস্বীকার করা

মিনিকিন লাইব্রেরিতে পরিষেবার দুর্বলতা অস্বীকার করা হলে একজন স্থানীয় আক্রমণকারীকে সাময়িকভাবে প্রভাবিত ডিভাইসে অ্যাক্সেস ব্লক করতে পারে। একজন আক্রমণকারী একটি অবিশ্বস্ত ফন্ট লোড হতে পারে এবং মিনিকিন উপাদানে একটি ওভারফ্লো হতে পারে, যা ক্র্যাশের দিকে পরিচালিত করে। এটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ পরিষেবা অস্বীকৃতি একটি ক্রমাগত রিবুট লুপের দিকে নিয়ে যাবে।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2414 ANDROID-26413177 [ 2 ] উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1 নভেম্বর 3, 2015

Exchange ActiveSync-এ তথ্য প্রকাশের দুর্বলতা

Exchange ActiveSync-এ একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে ব্যবহারকারীর ব্যক্তিগত তথ্যে অ্যাক্সেস পেতে সক্ষম করতে পারে৷ এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি সুরক্ষিত ডেটাতে দূরবর্তী অ্যাক্সেসের অনুমতি দেয়।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2415 ANDROID-26488455 উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1 জানুয়ারী 11, 2016

মিডিয়া সার্ভারে তথ্য প্রকাশের দুর্বলতা

মিডিয়াসার্ভারে একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্ম শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এগুলি উন্নত ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2416 ANDROID-27046057 [ 2 ] উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ফেব্রুয়ারী 5, 2016
CVE-2016-2417 ANDROID-26914474 উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ফেব্রুয়ারী 1, 2016
CVE-2016-2418 অ্যান্ড্রয়েড-26324358 উচ্চ 6.0, 6.0.1 24 ডিসেম্বর, 2015
CVE-2016-2419 ANDROID-26323455 উচ্চ 6.0, 6.0.1 24 ডিসেম্বর, 2015

ডিবাগারড কম্পোনেন্টে প্রিভিলেজ দুর্বলতার উচ্চতা

ডিবাগারড কম্পোনেন্টে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে যা একটি স্থায়ী ডিভাইস আপস হতে পারে। ফলস্বরূপ, অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে। সাধারণত এই ধরনের একটি কোড এক্সিকিউশন বাগকে ক্রিটিক্যাল হিসেবে রেট করা হবে, কিন্তু যেহেতু এটি শুধুমাত্র অ্যান্ড্রয়েড সংস্করণ 4.4.4-এ সিস্টেম থেকে রুট পর্যন্ত বিশেষাধিকারের উচ্চতা সক্ষম করে, এটি পরিবর্তে মধ্যপন্থী হিসাবে রেট করা হয়েছে। অ্যান্ড্রয়েড সংস্করণ 5.0 এবং তার উপরে, SELinux নিয়মগুলি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিকে প্রভাবিত কোডে পৌঁছাতে বাধা দেয়।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2420 ANDROID-26403620 [ 2 ] পরিমিত 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 জানুয়ারী 5, 2016

সেটআপ উইজার্ডে বিশেষাধিকার দুর্বলতার উচ্চতা

সেটআপ উইজার্ডে একটি দুর্বলতা আক্রমণকারীকে ফ্যাক্টরি রিসেট সুরক্ষা বাইপাস করতে এবং ডিভাইসে অ্যাক্সেস পেতে অনুমতি দিতে পারে। এটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি সম্ভাব্যভাবে ফ্যাক্টরি রিসেট সুরক্ষা বাইপাস করার জন্য একটি ডিভাইসে শারীরিক অ্যাক্সেস সহ কাউকে অনুমতি দেয়, যা একটি আক্রমণকারীকে সফলভাবে একটি ডিভাইস রিসেট করতে সক্ষম করে, সমস্ত ডেটা মুছে দেয়৷

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2421 ANDROID-26154410* পরিমিত 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি রিলিজে রয়েছে৷

Wi-Fi-এ বিশেষাধিকার দুর্বলতার উচ্চতা

Wi-Fi-এ বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2422 ANDROID-26324357 পরিমিত 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 ডিসেম্বর, 2015

টেলিফোনিতে বিশেষাধিকার দুর্বলতার উচ্চতা

টেলিফোনিতে একটি দুর্বলতা আক্রমণকারীকে ফ্যাক্টরি রিসেট সুরক্ষা বাইপাস করতে এবং ডিভাইসে অ্যাক্সেস পেতে অনুমতি দিতে পারে। এটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি সম্ভাব্যভাবে ফ্যাক্টরি রিসেট সুরক্ষা বাইপাস করার জন্য একটি ডিভাইসে শারীরিক অ্যাক্সেস সহ কাউকে অনুমতি দেয়, যা একটি আক্রমণকারীকে সফলভাবে একটি ডিভাইস রিসেট করতে সক্ষম করে, সমস্ত ডেটা মুছে দেয়৷

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2423 ANDROID-26303187 পরিমিত 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

SyncStorageEngine-এ পরিষেবার দুর্বলতা অস্বীকার করা

SyncStorageEngine-এ পরিষেবার দুর্বলতা অস্বীকার করা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি রিবুট লুপ তৈরি করতে সক্ষম করতে পারে৷ এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি একটি স্থানীয় অস্থায়ী পরিষেবা অস্বীকার করার জন্য ব্যবহার করা যেতে পারে যা ফ্যাক্টরি রিসেট করার পরেও সম্ভবত ঠিক করা প্রয়োজন৷

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2424 ANDROID-26513719 পরিমিত 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

AOSP মেলে তথ্য প্রকাশের দুর্বলতা

AOSP মেলে তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে ব্যবহারকারীর ব্যক্তিগত তথ্যে অ্যাক্সেস পেতে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ভুলভাবে "বিপজ্জনক" অনুমতি পেতে ব্যবহার করা যেতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2425 অ্যান্ড্রয়েড-26989185 পরিমিত 4.4.4, 5.1.1, 6.0, 6.0.1 জানুয়ারী 29, 2016
CVE-2016-2425 ANDROID-7154234* পরিমিত 5.0.2 জানুয়ারী 29, 2016

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি রিলিজে রয়েছে৷

ফ্রেমওয়ার্কে তথ্য প্রকাশের দুর্বলতা

ফ্রেমওয়ার্ক উপাদানে একটি তথ্য প্রকাশের দুর্বলতা একটি অ্যাপ্লিকেশনকে সংবেদনশীল তথ্য অ্যাক্সেস করার অনুমতি দিতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা রেট দেওয়া হয়েছে কারণ এটি অনুমতি ছাড়া ডেটাতে অনুপযুক্তভাবে অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-2426 অ্যান্ড্রয়েড-26094635 পরিমিত 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 8 ডিসেম্বর, 2015

সাধারণ প্রশ্ন ও উত্তর

এই বিভাগটি এই বুলেটিন পড়ার পর হতে পারে এমন সাধারণ প্রশ্নের উত্তর পর্যালোচনা করে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

2 এপ্রিল, 2016-এর নিরাপত্তা প্যাচ স্তরগুলি বা তার পরে এই সমস্যাগুলির সমাধান করে (কীভাবে নিরাপত্তা প্যাচ স্তর পরীক্ষা করতে হয় তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন)। এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত: [ro.build.version.security_patch]:[2016-04-02]

2. কেন এই নিরাপত্তা প্যাচ স্তর এপ্রিল 2, 2016?

মাসিক নিরাপত্তা আপডেটের জন্য নিরাপত্তা প্যাচ স্তরটি সাধারণত মাসের প্রথমটিতে সেট করা হয়। এপ্রিলের জন্য, 1 এপ্রিল, 2016-এর একটি নিরাপত্তা প্যাচ স্তর নির্দেশ করে যে CVE-2015-1805 ব্যতীত এই বুলেটিনে বর্ণিত সমস্ত সমস্যা, যেমন Android নিরাপত্তা পরামর্শ 2016-03-18-এ বর্ণিত হয়েছে। 2 এপ্রিল, 2016-এর একটি নিরাপত্তা প্যাচ স্তর নির্দেশ করে যে CVE-2015-1805 সহ এই বুলেটিনে বর্ণিত সমস্ত সমস্যা, যেমন Android সিকিউরিটি অ্যাডভাইজরি 2016-03-18-এ বর্ণিত হয়েছে।

রিভিশন

  • এপ্রিল 04, 2016: বুলেটিন প্রকাশিত।
  • এপ্রিল 06, 2016: AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
  • এপ্রিল 07, 2016: একটি অতিরিক্ত AOSP লিঙ্ক অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
  • জুলাই 11, 2016: CVE-2016-2427-এর আপডেট করা বিবরণ।
  • আগস্ট 01, 2016: CVE-2016-2427-এর আপডেট করা বিবরণ
  • ডিসেম্বর 19, 2016: CVE-2016-2427 সরানোর জন্য আপডেট করা হয়েছে, যা প্রত্যাবর্তন করা হয়েছে।