প্রকাশিত জুন 06, 2016 | জুন 08, 2016 আপডেট করা হয়েছে
অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ বুলেটিনের পাশাপাশি, আমরা ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। জুন 01, 2016 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি এই সমস্যাগুলির সমাধান করে৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা শিখতে Nexus ডকুমেন্টেশন পড়ুন।
02 মে, 2016 বা তার আগে বুলেটিনে বর্ণিত সমস্যাগুলি সম্পর্কে অংশীদারদের অবহিত করা হয়েছিল৷ যেখানে প্রযোজ্য, এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে৷
সবচেয়ে গুরুতর সমস্যা হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।
আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণ বা অপব্যবহারের কোনও রিপোর্ট নেই। Android নিরাপত্তা প্ল্যাটফর্ম সুরক্ষা এবং SafetyNet এর মতো পরিষেবা সুরক্ষার বিষয়ে বিশদ বিবরণের জন্য Android এবং Google পরিষেবা মিটিগেশন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে৷
আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷
অ্যান্ড্রয়েড এবং গুগল সার্ভিস মিটিগেশন
এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
- Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করে, যা ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করার জন্য ডিজাইন করা হয়েছে৷ Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে ডিফল্টরূপে অ্যাপগুলিকে যাচাইকরণ সক্ষম করা থাকে এবং বিশেষ করে যারা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের জন্য এটি গুরুত্বপূর্ণ৷ ডিভাইস রুট করার টুলগুলি Google Play-এর মধ্যে নিষিদ্ধ, কিন্তু ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীদের সতর্ক করে যখন তারা একটি শনাক্ত রুটিং অ্যাপ্লিকেশন ইনস্টল করার চেষ্টা করে—সেটি যেখান থেকেই আসুক না কেন। উপরন্তু, ভেরিফাই অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তবে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং সনাক্ত করা অ্যাপ্লিকেশনটি সরানোর চেষ্টা করবে৷
- উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।
স্বীকৃতি
আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:
- ডি শেন ( @returnsme ) KeenLab ( @keen_lab ), Tencent: CVE-2016-2468
- গাল বেনিয়ামিনি ( @লাগিনিমাইনেব ): CVE-2016-2476
- Gengjia Chen ( @chengjia4574 ), IceSword Lab এর pjf ( weibo.com/jfpan ), Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- মোবাইল সেফ টিমের হাও চেন, গুয়াং গং এবং ওয়েনলিন ইয়াং, কিহু 360 প্রযুক্তি কোং লিমিটেড: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2010 2498
- ইও বনাস : CVE-2016-2496
- IceSword Lab, Qihoo 360 Technology Co. Ltd. এর জিয়ানকিয়াং ঝাও ( @jianqiangzhao ) এবং pjf ( weibo.com/jfpan )
- গুগলের লি ক্যাম্পবেল: CVE-2016-2500
- গুগল সিকিউরিটি টিমের ম্যাকিয়েজ সাওলোস্কি: CVE-2016-2474
- মার্কো নেলিসেন এবং গুগলের ম্যাক্স স্পেক্টর: CVE-2016-2487
- গুগল প্রোজেক্ট জিরোর মার্ক ব্র্যান্ড: CVE-2016-2494
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), এবং C0RE টিমের Xuxian জিয়াং: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2016, CVE-2016-2018, CVE-2016-2478 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
- স্কট বাউয়ার ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- ভ্যাসিলি ভাসিলেভ: CVE-2016-2463
- আলিবাবা ইনকর্পোরেটেডের উইচাও সান ( @সানব্লেট ): CVE-2016-2495
- Tencent নিরাপত্তা প্ল্যাটফর্ম বিভাগের Xiling Gong: CVE-2016-2499
- অ্যান্ড্রয়েড সিকিউরিটি টিমের Zach Riggle ( @ebeip90 ): CVE-2016-2493
নিরাপত্তা দুর্বলতার বিবরণ
নীচের বিভাগগুলিতে, আমরা 2016-06-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বিবরণ, একটি তীব্রতার যুক্তি এবং CVE এর সাথে একটি টেবিল, সম্পর্কিত Android বাগ, তীব্রতা, আপডেট করা Nexus ডিভাইস, আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য), এবং রিপোর্ট করা তারিখ রয়েছে। উপলভ্য হলে, আমরা AOSP পরিবর্তনটিকে লিঙ্ক করব যা সমস্যাটি বাগ আইডির সাথে সম্বোধন করেছে। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।
মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা
মিডিয়া সার্ভারে একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি আক্রমণকারীকে একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে মিডিয়া ফাইল এবং ডেটা প্রক্রিয়াকরণের সময় মেমরি দুর্নীতির কারণ হতে পারে। মিডিয়াসার্ভার প্রক্রিয়ার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে সমালোচনামূলক হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার প্রক্রিয়ার অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেস রয়েছে, সেইসাথে বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে প্রদান করা হয়, এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | সমালোচনামূলক | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 মার্চ, 2016 |
libwebm-এ রিমোট কোড এক্সিকিউশন দুর্বলতা
libwebm-এর সাথে রিমোট কোড এক্সিকিউশন দুর্বলতাগুলি মিডিয়া ফাইল এবং ডেটা প্রক্রিয়াকরণের সময় মেমরি দুর্নীতির জন্য একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে আক্রমণকারীকে সক্ষম করতে পারে। মিডিয়াসার্ভার প্রক্রিয়ার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে সমালোচনামূলক হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার প্রক্রিয়ার অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেস রয়েছে, সেইসাথে বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে প্রদান করা হয়, এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [ 2 ] | সমালোচনামূলক | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
কোয়ালকম ভিডিও ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
Qualcomm ভিডিও ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | সমালোচনামূলক | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | ফেব্রুয়ারী 21, 2016 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কোয়ালকম সাউন্ড ড্রাইভারে প্রিভিলেজ দুর্বলতার উচ্চতা
Qualcomm সাউন্ড ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | সমালোচনামূলক | নেক্সাস 6 | ফেব্রুয়ারী 27, 2016 |
| CVE-2016-2467 | 28029010* | সমালোচনামূলক | নেক্সাস 5 | 13 মার্চ, 2014 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কোয়ালকম জিপিইউ ড্রাইভারে প্রিভিলেজ দুর্বলতার উচ্চতা
Qualcomm GPU ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | সমালোচনামূলক | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 | 2 মার্চ, 2016 |
| CVE-2016-2062 | 27364029* | সমালোচনামূলক | Nexus 5X, Nexus 6P | 6 মার্চ, 2016 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কোয়ালকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
কোয়ালকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | সমালোচনামূলক | Nexus 5X | গুগল অভ্যন্তরীণ |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকারের দুর্বলতার উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সিস্টেম কলগুলি আহ্বান করতে সক্ষম করতে পারে যাতে এটি করার বিশেষ সুবিধা ছাড়াই ডিভাইস সেটিংস এবং আচরণ পরিবর্তন করা যায়। এই সমস্যাটি উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে।
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | উচ্চ | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | জানুয়ারী 6, 2016 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কোয়ালকম সাউন্ড ড্রাইভারে প্রিভিলেজ দুর্বলতার উচ্চতা
Qualcomm সাউন্ড ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা কার্নেলের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি দূষিত অ্যাপ্লিকেশন সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে ড্রাইভারকে কল করতে পারে এমন একটি পরিষেবার সাথে আপস করতে হবে৷
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | উচ্চ | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | জানুয়ারী 29, 2016 |
| CVE-2016-2469 | 27531992* | উচ্চ | Nexus 5, Nexus 6, Nexus 6P | 4 মার্চ, 2016 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা
মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [ 2 ] [ 3 ] [ 4 ] | উচ্চ | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ফেব্রুয়ারী 11, 2016 |
| CVE-2016-2477 | 27251096 | উচ্চ | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ফেব্রুয়ারী 17, 2016 |
| CVE-2016-2478 | 27475409 | উচ্চ | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 মার্চ, 2016 |
| CVE-2016-2479 | 27532282 | উচ্চ | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 মার্চ, 2016 |
| CVE-2016-2480 | 27532721 | উচ্চ | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 মার্চ, 2016 |
| CVE-2016-2481 | 27532497 | উচ্চ | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 মার্চ, 2016 |
| CVE-2016-2482 | 27661749 | উচ্চ | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 মার্চ, 2016 |
| CVE-2016-2483 | 27662502 | উচ্চ | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 মার্চ, 2016 |
| CVE-2016-2484 | 27793163 | উচ্চ | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 মার্চ, 2016 |
| CVE-2016-2485 | 27793367 | উচ্চ | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 মার্চ, 2016 |
| CVE-2016-2486 | 27793371 | উচ্চ | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 মার্চ, 2016 |
| CVE-2016-2487 | 27833616 [ 2 ] [ 3 ] | উচ্চ | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
কোয়ালকম ক্যামেরা ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
Qualcomm ক্যামেরা ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে ড্রাইভারকে কল করতে পারে এমন একটি পরিষেবার সাথে আপস করতে হবে৷
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | উচ্চ | Nexus 5X, Nexus 6P | ফেব্রুয়ারী 15, 2016 |
| CVE-2016-2488 | 27600832* | উচ্চ | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | গুগল অভ্যন্তরীণ |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কোয়ালকম ভিডিও ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
Qualcomm ভিডিও ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে ড্রাইভারকে কল করতে পারে এমন একটি পরিষেবার সাথে আপস করতে হবে৷
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | উচ্চ | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | ফেব্রুয়ারী 21, 2016 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
NVIDIA ক্যামেরা ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
NVIDIA ক্যামেরা ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি প্রথমে ড্রাইভারকে কল করার জন্য একটি পরিষেবার সাথে আপস করতে হবে৷
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | উচ্চ | নেক্সাস 9 | 6 মার্চ, 2016 |
| CVE-2016-2491 | 27556408* | উচ্চ | নেক্সাস 9 | 8 মার্চ, 2016 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কোয়ালকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
কোয়ালকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা কার্নেলের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে ড্রাইভারকে কল করতে পারে এমন একটি পরিষেবার সাথে আপস করতে হবে৷
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | উচ্চ | Nexus 7 (2013) | 13 মার্চ, 2016 |
| CVE-2016-2471 | 27773913* | উচ্চ | Nexus 7 (2013) | মার্চ 19, 2016 |
| CVE-2016-2472 | 27776888* | উচ্চ | Nexus 7 (2013) | 20 মার্চ, 2016 |
| CVE-2016-2473 | 27777501* | উচ্চ | Nexus 7 (2013) | 20 মার্চ, 2016 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
মিডিয়াটেক পাওয়ার ম্যানেজমেন্ট ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
মিডিয়াটেক পাওয়ার ম্যানেজমেন্ট ড্রাইভারে বিশেষাধিকারের একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে ডিভাইসের সাথে আপস করা এবং ড্রাইভারকে কল করার জন্য রুট করার জন্য একটি উচ্চতা প্রয়োজন৷
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | উচ্চ | অ্যান্ড্রয়েড ওয়ান | 7 এপ্রিল, 2016 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
SD কার্ড ইমুলেশন লেয়ারে বিশেষাধিকার দুর্বলতার উচ্চতা
SD কার্ড ইউজারস্পেস এমুলেশন লেয়ারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | উচ্চ | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 এপ্রিল, 2016 |
ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি প্রথমে ড্রাইভারকে কল করার জন্য একটি পরিষেবার সাথে আপস করতে হবে৷
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | উচ্চ | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C | গুগল অভ্যন্তরীণ |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
মিডিয়াসার্ভারে পরিষেবা দুর্বলতার দূরবর্তী অস্বীকার
মিডিয়াসার্ভারে পরিষেবার দুর্বলতার একটি দূরবর্তী অস্বীকৃতি একটি আক্রমণকারীকে একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করতে সক্ষম করতে পারে যাতে একটি ডিভাইস হ্যাং বা রিবুট হয়। দূরবর্তী পরিষেবা অস্বীকার করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [ 2 ] | উচ্চ | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 এপ্রিল, 2016 |
ফ্রেমওয়ার্ক UI-তে বিশেষাধিকার দুর্বলতার উচ্চতা
ফ্রেমওয়ার্ক UI অনুমতি ডায়ালগ উইন্ডোতে বিশেষাধিকার দুর্বলতার একটি উচ্চতা আক্রমণকারীকে ব্যক্তিগত স্টোরেজে অননুমোদিত ফাইলগুলিতে অ্যাক্সেস পেতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি ভুলভাবে " বিপজ্জনক " অনুমতি পেতে ব্যবহার করা যেতে পারে।
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [ 2 ] [ 3 ] | পরিমিত | সমস্ত নেক্সাস | 6.0, 6.1 | 26 মে, 2015 |
Qualcomm Wi-Fi ড্রাইভারে তথ্য প্রকাশের দুর্বলতা
Qualcomm Wi-Fi ড্রাইভারের একটি তথ্য প্রকাশ একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে ড্রাইভারকে কল করতে পারে এমন একটি পরিষেবার সাথে আপস করতে হবে৷
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | পরিমিত | Nexus 7 (2013) | 20 মার্চ, 2016 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
মিডিয়া সার্ভারে তথ্য প্রকাশের দুর্বলতা
মিডিয়াসার্ভারে একটি তথ্য প্রকাশের দুর্বলতা একটি অ্যাপ্লিকেশনকে সংবেদনশীল তথ্য অ্যাক্সেস করার অনুমতি দিতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি অনুমতি ছাড়াই ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | পরিমিত | সমস্ত নেক্সাস | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 মার্চ, 2016 |
অ্যাক্টিভিটি ম্যানেজারে তথ্য প্রকাশের দুর্বলতা
অ্যাক্টিভিটি ম্যানেজার উপাদানে একটি তথ্য প্রকাশের দুর্বলতা একটি অ্যাপ্লিকেশনকে সংবেদনশীল তথ্য অ্যাক্সেস করার অনুমতি দিতে পারে। এই সমস্যাটিকে মধ্যম রেট দেওয়া হয়েছে কারণ এটি অনুমতি ছাড়াই ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।
| সিভিই | অ্যান্ড্রয়েড বাগ | নির্দয়তা | আপডেট করা Nexus ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | পরিমিত | সমস্ত নেক্সাস | 5.0.2, 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
সাধারণ প্রশ্ন ও উত্তর
এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।
1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?
জুন 01, 2016 এর নিরাপত্তা প্যাচ স্তরগুলি বা তার পরে এই সমস্যাগুলি সমাধান করে (কীভাবে নিরাপত্তা প্যাচ স্তর পরীক্ষা করতে হয় সে সম্পর্কে নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন)। এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত: [ro.build.version.security_patch]:[2016-06-01]
2. প্রতিটি সমস্যা দ্বারা কোন Nexus ডিভাইসগুলি প্রভাবিত হবে তা আমি কীভাবে নির্ধারণ করব?
নিরাপত্তা দুর্বলতার বিবরণ বিভাগে, প্রতিটি সারণীতে একটি আপডেট করা Nexus ডিভাইস কলাম রয়েছে যা প্রতিটি সমস্যার জন্য আপডেট করা প্রভাবিত Nexus ডিভাইসের পরিসরকে কভার করে। এই কলামে কয়েকটি বিকল্প রয়েছে:
- সমস্ত নেক্সাস ডিভাইস : যদি কোনও সমস্যা সমস্ত নেক্সাস ডিভাইসকে প্রভাবিত করে, তবে আপডেট করা নেক্সাস ডিভাইস কলামে টেবিলটিতে "সমস্ত নেক্সাস" থাকবে। "সমস্ত Nexus" নিম্নলিখিত সমর্থিত ডিভাইসগুলিকে এনক্যাপসুলেট করে: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, এবং Pixel C৷
- কিছু নেক্সাস ডিভাইস : যদি কোনো সমস্যা সমস্ত নেক্সাস ডিভাইসকে প্রভাবিত না করে, ক্ষতিগ্রস্ত নেক্সাস ডিভাইসগুলি আপডেট করা নেক্সাস ডিভাইস কলামে তালিকাভুক্ত করা হয়।
- কোনো নেক্সাস ডিভাইস নেই : যদি কোনো নেক্সাস ডিভাইস সমস্যা দ্বারা প্রভাবিত না হয়, তাহলে আপডেট করা নেক্সাস ডিভাইস কলামে টেবিলটিতে "কোনটিই নয়" থাকবে।
রিভিশন
- জুন 06, 2016: বুলেটিন প্রকাশিত।
- জুন 07, 2016:
- AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
- CVE-2016-2496 বুলেটিন থেকে সরানো হয়েছে।
- জুন 08, 2016: CVE-2016-2496 আবার বুলেটিনে যোগ করা হয়েছে।