প্রকাশিত এপ্রিল 04, 2016 | 19 ডিসেম্বর, 2016 আপডেট করা হয়েছে
আমরা আমাদের Android সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। 02 এপ্রিল, 2016-এর নিরাপত্তা প্যাচ স্তরগুলি বা তার পরে এই সমস্যাগুলি সমাধান করে (কীভাবে নিরাপত্তা প্যাচ স্তর পরীক্ষা করতে হয় তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন)।
16 মার্চ, 2016 বা তার আগে বুলেটিনে বর্ণিত সমস্যাগুলি সম্পর্কে অংশীদারদের অবহিত করা হয়েছিল৷ যেখানে প্রযোজ্য, এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে৷
এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।
অ্যান্ড্রয়েড সিকিউরিটি অ্যাডভাইজরি 2016-03-18 এর আগে একটি রুটিং অ্যাপ্লিকেশন দ্বারা CVE-2015-1805 ব্যবহার নিয়ে আলোচনা করা হয়েছে। CVE-2015-1805 এই আপডেটে সমাধান করা হয়েছে। সক্রিয় গ্রাহক শোষণ বা অন্যান্য নতুন রিপোর্ট করা সমস্যাগুলির অপব্যবহারের কোন রিপোর্ট নেই। অ্যান্ড্রয়েড নিরাপত্তা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষা সম্পর্কে আরও বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের সুরক্ষা উন্নত করে৷
প্রশমন
এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
- অ্যান্ড্রয়েড সিকিউরিটি টিম সক্রিয়ভাবে ভেরিফাই অ্যাপস এবং সেফটিনেটের সাথে অপব্যবহারের জন্য নজরদারি করছে, যা ব্যবহারকারীকে সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশানগুলি ইনস্টল করা সম্পর্কে শনাক্ত করা সম্পর্কে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
- উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।
স্বীকৃতি
অ্যান্ড্রয়েড সিকিউরিটি টিম এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:
- গুগল ক্রোম সিকিউরিটি টিমের অভিষেক আর্য, অলিভার চ্যাং এবং মার্টিন বারবেলা: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- সেন্সাস এসএ-এর অ্যানেস্টিস বেচটসউডিস ( @anestisb ): CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- গুগল টেলিকম টিমের ব্র্যাড এবিঙ্গার এবং স্যান্টোস কর্ডন: CVE-2016-0847
- অপারেটিং সিস্টেম এবং কম্পিউটার নেটওয়ার্কের জন্য ইনস্টিটিউটের ডমিনিক শুরম্যান , টিইউ ব্রাউনশউইগ: CVE-2016-2425
- Gengjia Chen ( @chengjia4574 ), pjf , IceSword Lab, Qihoo 360 এর জিয়ানকিয়াং ঝাও ( @jianqiangzhao ): CVE-2016-0844
- ইকোলে পলিটেকনিক ফেডারেল দে লসানের জর্জ পিসকাস : CVE-2016-2426
- Qihoo 360 Technology Co.Ltd- এর গুয়াং গং (龚广) ( @oldfresher ) : CVE-2016-2412, CVE-2016-2416
- গুগল প্রজেক্ট জিরোর জেমস ফরশো: CVE-2016-2417, CVE-2016-0846
- IceSword Lab, Qihoo 360 এর জিয়ানকিয়াং ঝাও ( @jianqiangzhao ), pjf , এবং Gengjia Chen ( @chengjia4574 ): CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao ( @jianqiangzhao ) এবং IceSword Lab, Qihoo 360 এর pjf : CVE-2016-2409
- Vertu Corporation LTD-এর ন্যান্সি ওয়াং: CVE-2016-0837
- নাসিম জমির : CVE-2016-2409
- Qualcomm প্রোডাক্ট সিকিউরিটি ইনিশিয়েটিভের নিকো গোল্ডে ( @iamnion ): CVE-2016-2420, CVE-2016-0849
- ট্রেন্ড মাইক্রো এর পিটার পাই ( @heisecode ): CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- রিচার্ড শুপাক: CVE-2016-2415
- MWR ল্যাবসের রোমেন ট্রুভ: CVE-2016-0850
- স্টুয়ার্ট হেন্ডারসন: CVE-2016-2422
- অ্যান্ড্রয়েড সিকিউরিটির বিশ্বথ মোহন: CVE-2016-2424
- আলিবাবা ইনকর্পোরেটেডের ওয়েইচাও সান ( @সানব্লেট ): CVE-2016-2414
- ট্রেন্ড মাইক্রো ইনকর্পোরেটেডের উইশ উ ( @wish_wu ): CVE-2016-0843
- ইন্ডিয়ানা ইউনিভার্সিটি ব্লুমিংটনের ইয়েনজুন লি এবং জিয়াওফেং ওয়াং , পিকিং ইউনিভার্সিটির টংক্সিন লি এবং সিনহুই হান : CVE-2016-0848
এছাড়াও অ্যান্ড্রয়েড সিকিউরিটি টিম ইউয়ান-সুং লো , ওয়েঙ্কে ডু , চিয়াচিহ উ ( @chiachih_wu ), এবং C0RE টিম এবং জিম্পেরিয়ামের Xuxian জিয়াংকে CVE-2015-1805-এ তাদের অবদানের জন্য ধন্যবাদ জানায়।
নিরাপত্তা দুর্বলতার বিবরণ
নীচের বিভাগগুলিতে 2016-04-02 প্যাচ স্তরে প্রযোজ্য প্রতিটি সুরক্ষা দুর্বলতার বিবরণ রয়েছে৷ সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, প্রভাবিত সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। উপলভ্য হলে, আমরা AOSP কমিটকে লিঙ্ক করব যা সমস্যাটি বাগ আইডির সাথে সম্বোধন করেছে। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।
DHCPCD-তে দূরবর্তী কোড এক্সিকিউশন দুর্বলতা
ডায়নামিক হোস্ট কনফিগারেশন প্রোটোকল পরিষেবার একটি দুর্বলতা আক্রমণকারীকে মেমরি দুর্নীতির কারণ হতে সক্ষম করতে পারে, যা দূরবর্তী কোড কার্যকর করতে পারে। DHCP ক্লায়েন্টের প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। DHCP পরিষেবার বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2014-6060 | অ্যান্ড্রয়েড-15268738 | সমালোচনামূলক | 4.4.4 | জুলাই 30, 2014 |
| CVE-2014-6060 | ANDROID-16677003 | সমালোচনামূলক | 4.4.4 | জুলাই 30, 2014 |
| CVE-2016-1503 | ANDROID-26461634 | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 জানুয়ারী, 2016 |
মিডিয়া কোডেক এ রিমোট কোড এক্সিকিউশন দুর্বলতা
মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়া সার্ভার দ্বারা ব্যবহৃত একটি মিডিয়া কোডেকের দুর্বলতাগুলি আক্রমণকারীকে মেমরি দুর্নীতি এবং মিডিয়াসার্ভার প্রক্রিয়া হিসাবে দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।
প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে প্রদান করা হয়, এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।
মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেস রয়েছে, সেইসাথে বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
| সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | সমালোচনামূলক | 6.0, 6.0.1 | 16 ডিসেম্বর, 2015 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা
মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।
প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে প্রদান করা হয়, এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।
মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেস রয়েছে, সেইসাথে বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0835 | অ্যান্ড্রয়েড-26070014 [ 2 ] | সমালোচনামূলক | 6.0, 6.0.1 | 6 ডিসেম্বর, 2015 |
| CVE-2016-0836 | ANDROID-25812590 | সমালোচনামূলক | 6.0, 6.0.1 | নভেম্বর 19, 2015 |
| CVE-2016-0837 | ANDROID-27208621 | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ফেব্রুয়ারী 11, 2016 |
| CVE-2016-0838 | ANDROID-26366256 [ 2 ] | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
| CVE-2016-0839 | ANDROID-25753245 | সমালোচনামূলক | 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
| CVE-2016-0840 | ANDROID-26399350 | সমালোচনামূলক | 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
| CVE-2016-0841 | অ্যান্ড্রয়েড-26040840 | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
রিমোট কোড এক্সিকিউশন দুর্বলতা লিবস্টেজফ্রাইটে
মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, libstagefright-এর দুর্বলতাগুলি একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।
প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে প্রদান করা হয়, এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।
মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেস রয়েছে, সেইসাথে বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | সমালোচনামূলক | 6.0, 6.0.1 | নভেম্বর 23, 2015 |
কার্নেলে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেলে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের মধ্যে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে। এই সমস্যাটি Android সিকিউরিটি অ্যাডভাইজরি 2016-03-18- এ বর্ণিত হয়েছে।
| সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ফেব্রুয়ারী 19, 2016 |
* AOSP-এর প্যাচটি নির্দিষ্ট কার্নেল সংস্করণের জন্য উপলব্ধ: 3.14 , 3.10 , এবং 3.4 ।
কোয়ালকম পারফরম্যান্স মডিউলে বিশেষাধিকার দুর্বলতার উচ্চতা
কোয়ালকম থেকে এআরএম প্রসেসরের জন্য পারফরম্যান্স ইভেন্ট ম্যানেজার উপাদানে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের মধ্যে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে।
| সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | নভেম্বর 19, 2015 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কোয়ালকম আরএফ কম্পোনেন্টে প্রিভিলেজ ভালনারেবিলিটির উচ্চতা
Qualcomm RF ড্রাইভারের মধ্যে একটি দুর্বলতা রয়েছে যা কার্নেলের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307 * | সমালোচনামূলক | 6.0, 6.0.1 | 25 ডিসেম্বর, 2015 |
* এই সমস্যার জন্য একটি অতিরিক্ত প্যাচ লিনাক্স আপস্ট্রিমে অবস্থিত।
কার্নেলে বিশেষাধিকার দুর্বলতার উচ্চতা
সাধারণ কার্নেলে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2014-9322 | অ্যান্ড্রয়েড-26927260 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] | সমালোচনামূলক | 6.0, 6.0.1 | 25 ডিসেম্বর, 2015 |
IMemory নেটিভ ইন্টারফেসে বিশেষাধিকার দুর্বলতার উচ্চতা
IMemory নেটিভ ইন্টারফেসে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | জানুয়ারী 29, 2016 |
টেলিকম কম্পোনেন্টে প্রিভিলেজ দুর্বলতার উচ্চতা
টেলিকম কম্পোনেন্টে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা আক্রমণকারীকে যে কোনও নির্বিচারে নম্বর থেকে কল করতে দেখাতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [ 2 ] | উচ্চ | 5.0.2, 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
ডাউনলোড ম্যানেজারে প্রিভিলেজ দুর্বলতার উচ্চতা
ডাউনলোড ম্যানেজারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা আক্রমণকারীকে ব্যক্তিগত স্টোরেজে অননুমোদিত ফাইলগুলিতে অ্যাক্সেস পেতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 ডিসেম্বর, 2015 |
পুনরুদ্ধার পদ্ধতিতে বিশেষাধিকার দুর্বলতার উচ্চতা
পুনরুদ্ধার পদ্ধতিতে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0849 | অ্যান্ড্রয়েড-26960931 | উচ্চ | 5.0.2, 5.1.1, 6.0, 6.0.1 | ফেব্রুয়ারী 3, 2016 |
ব্লুটুথ-এ প্রিভিলেজ দুর্বলতার উচ্চতা
ব্লুটুথ-এ বিশেষাধিকার দুর্বলতার একটি উচ্চতা প্রাথমিক জুড়ি প্রক্রিয়া চলাকালীন একটি অবিশ্বস্ত ডিভাইসকে ফোনের সাথে যুক্ত করতে সক্ষম করতে পারে। এটি ডিভাইস সংস্থানগুলির অননুমোদিত অ্যাক্সেসের দিকে নিয়ে যেতে পারে, যেমন ইন্টারনেট সংযোগ৷ এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে যা অবিশ্বস্ত ডিভাইসগুলিতে অ্যাক্সেসযোগ্য নয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 জানুয়ারী, 2016 |
টেক্সাস ইন্সট্রুমেন্টস হ্যাপটিক ড্রাইভারের বিশেষাধিকার দুর্বলতার উচ্চতা
একটি টেক্সাস ইনস্ট্রুমেন্টস হ্যাপটিক কার্নেল ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা রয়েছে যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। সাধারণত এই ধরনের একটি কার্নেল কোড এক্সিকিউশন বাগকে ক্রিটিক্যাল রেট দেওয়া হবে, কিন্তু যেহেতু এটির জন্য প্রথমে ড্রাইভারকে কল করতে পারে এমন একটি পরিষেবার সাথে আপস করতে হবে, এটি পরিবর্তে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে।
| সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | উচ্চ | 6.0, 6.0.1 | 25 ডিসেম্বর, 2015 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কোয়ালকম ভিডিও কার্নেল ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
Qualcomm ভিডিও কার্নেল ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা রয়েছে যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। সাধারনত একটি কার্নেল কোড এক্সিকিউশন দুর্বলতাকে ক্রিটিক্যাল রেট করা হবে, কিন্তু যেহেতু এটির জন্য প্রথমে ড্রাইভারকে কল করতে পারে এমন একটি পরিষেবার সাথে আপস করতে হবে, এটি পরিবর্তে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে।
| সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | উচ্চ | 6.0, 6.0.1 | 21 ডিসেম্বর, 2015 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কোয়ালকম পাওয়ার ম্যানেজমেন্ট কম্পোনেন্টে প্রিভিলেজ ভালনারেবিলিটির উচ্চতা
কোয়ালকম পাওয়ার ম্যানেজমেন্ট কার্নেল ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা রয়েছে যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। সাধারণত এই ধরনের একটি কার্নেল কোড এক্সিকিউশন বাগকে ক্রিটিকাল রেট দেওয়া হবে, কিন্তু কারণ এটির জন্য প্রথমে ডিভাইসের সাথে আপস করা এবং রুট করার জন্য উচ্চতা প্রয়োজন, এটি পরিবর্তে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে।
| সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | উচ্চ | 6.0, 6.0.1 | জানুয়ারী 28, 2016 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
সিস্টেম_সার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা
System_server-এ বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 জানুয়ারী, 2016 |
মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা
মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2413 | অ্যান্ড্রয়েড-26403627 | উচ্চ | 5.0.2, 5.1.1, 6.0, 6.0.1 | জানুয়ারী 5, 2016 |
মিনিকিনে পরিষেবার দুর্বলতা অস্বীকার করা
মিনিকিন লাইব্রেরিতে পরিষেবার দুর্বলতা অস্বীকার করা হলে একজন স্থানীয় আক্রমণকারীকে সাময়িকভাবে প্রভাবিত ডিভাইসে অ্যাক্সেস ব্লক করতে পারে। একজন আক্রমণকারী একটি অবিশ্বস্ত ফন্ট লোড হতে পারে এবং মিনিকিন উপাদানে একটি ওভারফ্লো হতে পারে, যা ক্র্যাশের দিকে পরিচালিত করে। এটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ পরিষেবা অস্বীকৃতি একটি ক্রমাগত রিবুট লুপের দিকে নিয়ে যাবে।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [ 2 ] | উচ্চ | 5.0.2, 5.1.1, 6.0, 6.0.1 | নভেম্বর 3, 2015 |
Exchange ActiveSync-এ তথ্য প্রকাশের দুর্বলতা
Exchange ActiveSync-এ একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে ব্যবহারকারীর ব্যক্তিগত তথ্যে অ্যাক্সেস পেতে সক্ষম করতে পারে৷ এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি সুরক্ষিত ডেটাতে দূরবর্তী অ্যাক্সেসের অনুমতি দেয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | উচ্চ | 5.0.2, 5.1.1, 6.0, 6.0.1 | জানুয়ারী 11, 2016 |
মিডিয়া সার্ভারে তথ্য প্রকাশের দুর্বলতা
মিডিয়াসার্ভারে একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্ম শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এগুলি উন্নত ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [ 2 ] | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ফেব্রুয়ারী 5, 2016 |
| CVE-2016-2417 | ANDROID-26914474 | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ফেব্রুয়ারী 1, 2016 |
| CVE-2016-2418 | ANDROID-26324358 | উচ্চ | 6.0, 6.0.1 | 24 ডিসেম্বর, 2015 |
| CVE-2016-2419 | ANDROID-26323455 | উচ্চ | 6.0, 6.0.1 | 24 ডিসেম্বর, 2015 |
ডিবাগারড কম্পোনেন্টে প্রিভিলেজ দুর্বলতার উচ্চতা
ডিবাগারড কম্পোনেন্টে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে যা একটি স্থায়ী ডিভাইস আপস হতে পারে। ফলস্বরূপ, অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে। সাধারণত এই ধরনের একটি কোড এক্সিকিউশন বাগকে ক্রিটিক্যাল হিসেবে রেট করা হবে, কিন্তু যেহেতু এটি শুধুমাত্র অ্যান্ড্রয়েড সংস্করণ 4.4.4-এ সিস্টেম থেকে রুট পর্যন্ত বিশেষাধিকারের উচ্চতা সক্ষম করে, এটি পরিবর্তে মধ্যপন্থী হিসাবে রেট করা হয়েছে। অ্যান্ড্রয়েড সংস্করণ 5.0 এবং তার উপরে, SELinux নিয়মগুলি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিকে প্রভাবিত কোডে পৌঁছাতে বাধা দেয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [ 2 ] | পরিমিত | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | জানুয়ারী 5, 2016 |
সেটআপ উইজার্ডে বিশেষাধিকার দুর্বলতার উচ্চতা
সেটআপ উইজার্ডে একটি দুর্বলতা আক্রমণকারীকে ফ্যাক্টরি রিসেট সুরক্ষা বাইপাস করতে এবং ডিভাইসে অ্যাক্সেস পেতে অনুমতি দিতে পারে। এটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি সম্ভাব্যভাবে ফ্যাক্টরি রিসেট সুরক্ষা বাইপাস করার জন্য একটি ডিভাইসে শারীরিক অ্যাক্সেস সহ কাউকে অনুমতি দেয়, যা একটি আক্রমণকারীকে সফলভাবে একটি ডিভাইস রিসেট করতে সক্ষম করে, সমস্ত ডেটা মুছে দেয়৷
| সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | পরিমিত | 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি রিলিজে রয়েছে৷
Wi-Fi-এ বিশেষাধিকার দুর্বলতার উচ্চতা
Wi-Fi-এ বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | পরিমিত | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 ডিসেম্বর, 2015 |
টেলিফোনিতে বিশেষাধিকার দুর্বলতার উচ্চতা
টেলিফোনিতে একটি দুর্বলতা আক্রমণকারীকে ফ্যাক্টরি রিসেট সুরক্ষা বাইপাস করতে এবং ডিভাইসে অ্যাক্সেস পেতে অনুমতি দিতে পারে। এটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি সম্ভাব্যভাবে ফ্যাক্টরি রিসেট সুরক্ষা বাইপাস করার জন্য একটি ডিভাইসে শারীরিক অ্যাক্সেস সহ কাউকে অনুমতি দেয়, যা একটি আক্রমণকারীকে সফলভাবে একটি ডিভাইস রিসেট করতে সক্ষম করে, সমস্ত ডেটা মুছে দেয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2423 | অ্যান্ড্রয়েড-26303187 | পরিমিত | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
SyncStorageEngine-এ পরিষেবার দুর্বলতা অস্বীকার করা
SyncStorageEngine-এ পরিষেবার দুর্বলতা অস্বীকার করা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি রিবুট লুপ তৈরি করতে সক্ষম করতে পারে৷ এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি একটি স্থানীয় অস্থায়ী পরিষেবা অস্বীকার করার জন্য ব্যবহার করা যেতে পারে যা ফ্যাক্টরি রিসেট করার পরেও সম্ভবত ঠিক করা প্রয়োজন৷
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | পরিমিত | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
AOSP মেলে তথ্য প্রকাশের দুর্বলতা
AOSP মেলে তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে ব্যবহারকারীর ব্যক্তিগত তথ্যে অ্যাক্সেস পেতে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ভুলভাবে "বিপজ্জনক" অনুমতি পেতে ব্যবহার করা যেতে পারে।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2425 | অ্যান্ড্রয়েড-26989185 | পরিমিত | 4.4.4, 5.1.1, 6.0, 6.0.1 | জানুয়ারী 29, 2016 |
| CVE-2016-2425 | ANDROID-7154234* | পরিমিত | 5.0.2 | জানুয়ারী 29, 2016 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি রিলিজে রয়েছে৷
ফ্রেমওয়ার্কে তথ্য প্রকাশের দুর্বলতা
ফ্রেমওয়ার্ক উপাদানে একটি তথ্য প্রকাশের দুর্বলতা একটি অ্যাপ্লিকেশনকে সংবেদনশীল তথ্য অ্যাক্সেস করার অনুমতি দিতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা রেট দেওয়া হয়েছে কারণ এটি অনুমতি ছাড়া ডেটাতে অনুপযুক্তভাবে অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2426 | অ্যান্ড্রয়েড-26094635 | পরিমিত | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 ডিসেম্বর, 2015 |
সাধারণ প্রশ্ন ও উত্তর
এই বিভাগটি এই বুলেটিন পড়ার পর হতে পারে এমন সাধারণ প্রশ্নের উত্তর পর্যালোচনা করে।
1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?
2 এপ্রিল, 2016-এর নিরাপত্তা প্যাচ স্তরগুলি বা তার পরে এই সমস্যাগুলির সমাধান করে (কীভাবে নিরাপত্তা প্যাচ স্তর পরীক্ষা করতে হয় তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন)। এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত: [ro.build.version.security_patch]:[2016-04-02]
2. কেন এই নিরাপত্তা প্যাচ স্তর এপ্রিল 2, 2016?
মাসিক নিরাপত্তা আপডেটের জন্য নিরাপত্তা প্যাচ স্তরটি সাধারণত মাসের প্রথমটিতে সেট করা হয়। এপ্রিলের জন্য, 1 এপ্রিল, 2016-এর একটি নিরাপত্তা প্যাচ স্তর নির্দেশ করে যে CVE-2015-1805 ব্যতীত এই বুলেটিনে বর্ণিত সমস্ত সমস্যা, যেমন Android নিরাপত্তা পরামর্শ 2016-03-18- এ বর্ণিত হয়েছে। 2 এপ্রিল, 2016-এর একটি নিরাপত্তা প্যাচ স্তর নির্দেশ করে যে CVE-2015-1805 সহ এই বুলেটিনে বর্ণিত সমস্ত সমস্যা, যেমন Android সিকিউরিটি অ্যাডভাইজরি 2016-03-18- এ বর্ণিত হয়েছে।
রিভিশন
- এপ্রিল 04, 2016: বুলেটিন প্রকাশিত।
- এপ্রিল 06, 2016: AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
- এপ্রিল 07, 2016: একটি অতিরিক্ত AOSP লিঙ্ক অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
- জুলাই 11, 2016: CVE-2016-2427-এর আপডেট করা বিবরণ।
- আগস্ট 01, 2016: CVE-2016-2427-এর আপডেট করা বিবরণ
- ডিসেম্বর 19, 2016: CVE-2016-2427 সরানোর জন্য আপডেট করা হয়েছে, যা প্রত্যাবর্তন করা হয়েছে।