প্রকাশিত নভেম্বর 07, 2016 | 21 ডিসেম্বর, 2016 আপডেট করা হয়েছে
অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ বুলেটিনের পাশাপাশি, আমরা একটি ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Google ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। গুগল ডিভাইসের ফার্মওয়্যারের ছবিগুলোও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। নভেম্বর 06, 2016 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে৷ একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে চেক করতে হয় তা জানতে Pixel এবং Nexus আপডেটের সময়সূচী পড়ুন।
20 অক্টোবর, 2016 বা তার আগে বুলেটিনে বর্ণিত সমস্যাগুলির বিষয়ে অংশীদারদের অবহিত করা হয়েছিল৷ যেখানে প্রযোজ্য, এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷
এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।
আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণ বা অপব্যবহারের কোনও রিপোর্ট নেই। Android নিরাপত্তা প্ল্যাটফর্ম সুরক্ষা এবং SafetyNet- এর মতো পরিষেবা সুরক্ষা সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google পরিষেবা প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে৷
আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷
ঘোষণা
- Pixel এবং Pixel XL ডিভাইসের প্রবর্তনের সাথে, Google দ্বারা সমর্থিত সমস্ত ডিভাইসের জন্য শব্দটি "Nexus ডিভাইস" এর পরিবর্তে "Google ডিভাইস"।
- এই বুলেটিনে তিনটি নিরাপত্তা প্যাচ স্তর রয়েছে যা Android অংশীদারদের আরও দ্রুত দুর্বলতার একটি উপসেট ঠিক করার জন্য নমনীয়তা প্রদান করে যা সমস্ত Android ডিভাইসে একই রকম। অতিরিক্ত তথ্যের জন্য সাধারণ প্রশ্ন এবং উত্তর দেখুন:
- 2016-11-01 : আংশিক নিরাপত্তা প্যাচ স্তর। এই নিরাপত্তা প্যাচ স্তর নির্দেশ করে যে 2016-11-01 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তর) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে।
- 2016-11-05 : সম্পূর্ণ নিরাপত্তা প্যাচ স্তর। এই নিরাপত্তা প্যাচ স্তর নির্দেশ করে যে 2016-11-01 এবং 2016-11-05 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তর) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷
- পরিপূরক নিরাপত্তা প্যাচ স্তর
পরিপূরক নিরাপত্তা প্যাচ স্তরগুলি প্যাচ স্তর সংজ্ঞায়িত করার পরে সর্বজনীনভাবে প্রকাশ করা সমস্যাগুলির সমাধান ধারণ করে এমন ডিভাইসগুলি সনাক্ত করতে দেওয়া হয়৷ 2016-12-01 নিরাপত্তা প্যাচ স্তর পর্যন্ত এই সম্প্রতি প্রকাশিত দুর্বলতাগুলিকে মোকাবেলা করার প্রয়োজন নেই৷
- 2016-11-06 : এই নিরাপত্তা প্যাচ স্তরটি নির্দেশ করে যে ডিভাইসটি 2016-11-05 এবং CVE-2016-5195 এর সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করেছে, যা 19 অক্টোবর, 2016-এ সর্বজনীনভাবে প্রকাশ করা হয়েছিল।
- সমর্থিত Google ডিভাইসগুলি নভেম্বর 05, 2016 নিরাপত্তা প্যাচ স্তরের সাথে একটি একক OTA আপডেট পাবে।
অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন
এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
- Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করে, যা ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করার জন্য ডিজাইন করা হয়েছে৷ Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে ডিফল্টরূপে অ্যাপগুলি যাচাই করা সক্রিয় থাকে এবং বিশেষ করে ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন৷ ডিভাইস রুট করার টুলগুলি Google Play-এর মধ্যে নিষিদ্ধ, কিন্তু ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীদের সতর্ক করে যখন তারা একটি শনাক্ত রুটিং অ্যাপ্লিকেশন ইনস্টল করার চেষ্টা করে—সেটি যেখান থেকেই আসুক না কেন। উপরন্তু, ভেরিফাই অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তবে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং সনাক্ত করা অ্যাপ্লিকেশনটি সরানোর চেষ্টা করবে৷
- উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।
স্বীকৃতি
আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:
- গুগল ক্রোম সিকিউরিটি টিমের অভিষেক আর্য, অলিভার চ্যাং এবং মার্টিন বারবেলা: CVE-2016-6722
- গুগলের আন্দ্রেই কাপিশনিকভ এবং মিরিয়াম গেরশেনসন: CVE-2016-6703
- Ao Wang ( @ArayzSegment ) এবং PKAV এর জিনুও হান , সাইলেন্স ইনফরমেশন টেকনোলজি: CVE-2016-6700, CVE-2016-6702
- সিকিউরিটি প্ল্যাটফর্ম ডিপার্টমেন্টের আস্কিশাং, টেনসেন্ট: CVE-2016-6713
- অ্যান্ড্রয়েড নিরাপত্তার বিলি লাউ: CVE-2016-6737
- কনস্টান্টিনোস পাটসাকিস এবং পিরাউস বিশ্ববিদ্যালয়ের এফথিমিওস আলেপিস : CVE-2016-6715
- আলিবাবা মোবাইল সিকিউরিটি টিমের dragonltx: CVE-2016-6714
- প্রোজেক্ট জিরোর গ্যাল বেনিয়ামিনি: CVE-2016-6707, CVE-2016-6717
- Gengjia Chen ( @chengjia4574 ) এবং IceSword Lab, Qihoo 360 Technology Co. Ltd. এর pjf . CVE-2016-6744, CVE-2016-6745, CVE-2016-3906
- আলফা টিমের গুয়াং গং (龚广) ( @oldfresher ), Qihoo 360 Technology Co. Ltd .: CVE-2016-6754
- Jianqiang Zhao ( @jianqiangzhao ) এবং IceSword Lab এর pjf , Qihoo 360 Technology Co. Ltd .: CVE-2016-6739, CVE-2016-3904, CVE-2016-3907, CVE-6986
- টেনসেন্টের কিন ল্যাবের মার্কো গ্রাসি ( @মারকোগ্রাস ) ( @keen_lab ): CVE-2016-6828
- প্রোজেক্ট জিরোর মার্ক ব্র্যান্ড: CVE-2016-6706
- গুগলের মার্ক রেনোফ: CVE-2016-6724
- Michał Bednarski ( github.com/michalbednarski ): CVE-2016-6710
- অ্যান্ড্রয়েড নিরাপত্তার মিন চং: CVE-2016-6743
- ট্রেন্ড মাইক্রো এর পিটার পাই ( @হাইসকোড ): CVE-2016-6721
- কিদান হে (何淇丹) ( @flanker_hqd ) এবং গেংমিং লিউ (刘耕铭) ( @dmxcsnsbh ) KeenLab, Tencent: CVE-2016-6705
- গুগলের রবিন লি: CVE-2016-6708
- স্কট বাউয়ার ( @ScottyBauer1 ): CVE-2016-6751
- ক্যাসপারস্কি ল্যাবের সের্গেই বব্রভ ( @ব্ল্যাক2ফ্যান ): CVE-2016-6716
- ট্রেন্ড মাইক্রো মোবাইল থ্রেট রিসার্চ টিমের সেভেন শেন ( @lingtongshen ): CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6753
- ভিক্টর ভ্যান ডের ভিন, হারবার্ট বস, কাভেহ রাজাভি, এবং ক্রিস্টিয়ানো গিউফ্রিদা ভ্রিজ ইউনিভার্সিটি আমস্টারডাম এবং ইয়ানিক ফ্র্যাটানটোনিও, মার্টিনা লিন্ডর্ফার, এবং ক্যালিফোর্নিয়া বিশ্ববিদ্যালয়ের জিওভানি ভিগনা, সান্তা বারবারা: CVE-2016-6728
- আলিবাবা ইনকর্পোরেটেডের ওয়েইচাও সান ( @সানব্লেট ): CVE-2016-6712, CVE-2016-6699, CVE-2016-6711
- Wenke Dou ( vancouverdou@gmail.com ), চিয়াচিহ উ ( @chiachih_wu ), এবং C0RE টিমের জুক্সিয়ান জিয়াং: CVE-2016-6720
- ট্রেন্ড মাইক্রো ইনকর্পোরেটেডের উইশ উ (吴潍浠) ( @wish_wu ): CVE-2016-6704
- নাইটওয়াচ সাইবারসিকিউরিটির ইয়াকভ শাফরানোভিচ : CVE-2016-6723
- ইউয়ান-সুং লো , ইয়াও জুন , টং লিন , চিয়াচিহ উ ( @chiachih_wu ), এবং C0RE দলের জুক্সিয়ান জিয়াং: CVE-2016-6730, CVE-2016-6732, CVE-2016-6734, CVE-2016-736
- ইউয়ান-সুং লো , ইয়াও জুন , জিয়াওডং ওয়াং , চিয়াচিহ উ ( @chiachih_wu ), এবং C0RE টিমের জুক্সিয়ান জিয়াং: CVE-2016-6731, CVE-2016-6733, CVE-2016-6735, CVE-61620
এই বুলেটিনে বিভিন্ন বিষয়ে তার অবদানের জন্য Android সিকিউরিটির Zach Riggle কে অতিরিক্ত ধন্যবাদ।
2016-11-01 নিরাপত্তা প্যাচ লেভেল—ভালনারেবিলিটি বিশদ
নীচের বিভাগগুলিতে, আমরা 2016-11-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট রেফারেন্স, তীব্রতা, আপডেট করা Google ডিভাইস, আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য), এবং রিপোর্ট করা তারিখ রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করব। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।
মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা
মিডিয়া সার্ভারে একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি আক্রমণকারীকে একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে মিডিয়া ফাইল এবং ডেটা প্রক্রিয়াকরণের সময় মেমরি দুর্নীতির কারণ হতে পারে। মিডিয়াসার্ভার প্রক্রিয়ার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে সমালোচনামূলক হিসাবে রেট করা হয়েছে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6699 | এ-31373622 | সমালোচনামূলক | সব | 7.0 | জুলাই 27, 2016 |
libzipfile-এ বিশেষাধিকার দুর্বলতার উচ্চতা
libzipfile-এ বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি বিশেষাধিকারপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6700 | এ-30916186 | সমালোচনামূলক | কোনটিই না* | 4.4.4, 5.0.2, 5.1.1 | 17 আগস্ট, 2016 |
* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷
স্কিয়াতে দূরবর্তী কোড কার্যকর করার দুর্বলতা
লিবস্কিয়াতে একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে আক্রমণকারীকে সক্রিয় করতে পারে যাতে মিডিয়া ফাইল এবং ডেটা প্রক্রিয়াকরণের সময় মেমরির দুর্নীতি হয়। গ্যালারি প্রক্রিয়ার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6701 | এ-30190637 | উচ্চ | সব | 7.0 | গুগল অভ্যন্তরীণ |
libjpeg-এ রিমোট কোড এক্সিকিউশন দুর্বলতা
libjpeg-এ একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে আক্রমণকারীকে একটি সুবিধাহীন প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। libjpeg ব্যবহার করে এমন একটি অ্যাপ্লিকেশনে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6702 | এ-30259087 | উচ্চ | কোনটিই না* | 4.4.4, 5.0.2, 5.1.1 | জুলাই 19, 2016 |
* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷
অ্যান্ড্রয়েড রানটাইমে রিমোট কোড এক্সিকিউশন দুর্বলতা
একটি অ্যান্ড্রয়েড রানটাইম লাইব্রেরিতে একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি বিশেষভাবে তৈরি করা পেলোড ব্যবহার করে আক্রমণকারীকে একটি সুবিধাহীন প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। Android রানটাইম ব্যবহার করে এমন একটি অ্যাপ্লিকেশনে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6703 | এ-30765246 | উচ্চ | কোনটিই না* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷
মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা
মিডিয়াসার্ভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যা সাধারণত তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6704 | A-30229821 [ 2 ] [ 3 ] | উচ্চ | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | জুলাই 19, 2016 |
| CVE-2016-6705 | A-30907212 [ 2 ] | উচ্চ | সব | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 আগস্ট, 2016 |
| CVE-2016-6706 | এ-31385713 | উচ্চ | সব | 7.0 | সেপ্টেম্বর 8, 2016 |
সিস্টেম সার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা
সিস্টেম সার্ভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যা সাধারণত তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6707 | এ-31350622 | উচ্চ | সব | 6.0, 6.0.1, 7.0 | 7 সেপ্টেম্বর, 2016 |
সিস্টেম UI-তে বিশেষাধিকার দুর্বলতার উচ্চতা
সিস্টেম UI-তে বিশেষাধিকারের একটি উচ্চতা স্থানীয় ক্ষতিকারক ব্যবহারকারীকে মাল্টি-উইন্ডো মোডে একটি কাজের প্রোফাইলের নিরাপত্তা প্রম্পট বাইপাস করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি কোনও বিকাশকারী বা নিরাপত্তা সেটিং পরিবর্তনের জন্য ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তার স্থানীয় বাইপাস।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6708 | এ-30693465 | উচ্চ | সব | 7.0 | গুগল অভ্যন্তরীণ |
কনস্ক্রিপ্টে তথ্য প্রকাশের দুর্বলতা
কনস্ক্রিপ্টে একটি তথ্য প্রকাশের দুর্বলতা আক্রমণকারীকে সংবেদনশীল তথ্যে অ্যাক্সেস পেতে সক্ষম করতে পারে যদি একটি লিগ্যাসি এনক্রিপশন API একটি অ্যাপ্লিকেশন দ্বারা ব্যবহার করা হয়। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি অনুমতি ছাড়াই ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6709 | এ-31081987 | উচ্চ | সব | 6.0, 6.0.1, 7.0 | 9 অক্টোবর, 2015 |
ডাউনলোড ম্যানেজারে তথ্য প্রকাশের দুর্বলতা
ডাউনলোড ম্যানেজারে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অপারেটিং সিস্টেম সুরক্ষাগুলি বাইপাস করতে সক্ষম করতে পারে যা অন্যান্য অ্যাপ্লিকেশন থেকে অ্যাপ্লিকেশন ডেটা বিচ্ছিন্ন করে৷ এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি এমন ডেটাতে অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে যা অ্যাপ্লিকেশনটির অ্যাক্সেস নেই৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6710 | A-30537115 [ 2 ] | উচ্চ | সব | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 30 জুলাই, 2016 |
ব্লুটুথে পরিষেবার দুর্বলতা অস্বীকার করা
ব্লুটুথ-এ পরিষেবার দুর্বলতা অস্বীকার করা একজন আনুমানিক আক্রমণকারীকে প্রভাবিত ডিভাইসে ব্লুটুথ অ্যাক্সেস ব্লক করতে সক্ষম করতে পারে। দূরবর্তী পরিষেবা অস্বীকার করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2014-9908 | এ-28672558 | উচ্চ | কোনটিই না* | 4.4.4, 5.0.2, 5.1.1 | 5 মে, 2014 |
* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷
OpenJDK-তে পরিষেবার দুর্বলতা অস্বীকার করা
ওপেনজেডিকে-তে পরিষেবার দুর্বলতার দূরবর্তী অস্বীকৃতি একজন আক্রমণকারীকে একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করতে সক্ষম করতে পারে যাতে একটি ডিভাইস হ্যাং বা রিবুট হয়। দূরবর্তী পরিষেবা অস্বীকার করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2015-0410 | এ-30703445 | উচ্চ | সব | 7.0 | 16 জানুয়ারী, 2015 |
মিডিয়াসার্ভারে পরিষেবার দুর্বলতা অস্বীকার করা
মিডিয়াসার্ভারে পরিষেবার দুর্বলতার একটি দূরবর্তী অস্বীকৃতি একটি আক্রমণকারীকে একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করতে সক্ষম করতে পারে যাতে একটি ডিভাইস হ্যাং বা রিবুট হয়। দূরবর্তী পরিষেবা অস্বীকার করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6711 | এ-30593765 | উচ্চ | কোনটিই না* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 আগস্ট, 2016 |
| CVE-2016-6712 | এ-30593752 | উচ্চ | কোনটিই না* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 আগস্ট, 2016 |
| CVE-2016-6713 | এ-30822755 | উচ্চ | সব | 6.0, 6.0.1, 7.0 | 11 আগস্ট, 2016 |
| CVE-2016-6714 | এ-31092462 | উচ্চ | সব | 6.0, 6.0.1, 7.0 | 22 আগস্ট, 2016 |
* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷
ফ্রেমওয়ার্ক এপিআই-এ বিশেষাধিকার দুর্বলতার উচ্চতা
ফ্রেমওয়ার্ক এপিআই-এ বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে ব্যবহারকারীর অনুমতি ছাড়াই অডিও রেকর্ড করার অনুমতি দিতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তাগুলির একটি স্থানীয় বাইপাস (কার্যকারিতায় অ্যাক্সেস যা সাধারণত ব্যবহারকারীর সূচনা বা ব্যবহারকারীর অনুমতির প্রয়োজন হয়)।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6715 | এ-29833954 | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | জুন 28, 2016 |
AOSP লঞ্চারে বিশেষাধিকার দুর্বলতার উচ্চতা
AOSP লঞ্চারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে এমন শর্টকাট তৈরি করার অনুমতি দিতে পারে যা ব্যবহারকারীর সম্মতি ছাড়াই উন্নত বিশেষাধিকার রয়েছে৷ এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তাগুলির একটি স্থানীয় বাইপাস (কার্যকারিতায় অ্যাক্সেস যা সাধারণত ব্যবহারকারীর সূচনা বা ব্যবহারকারীর অনুমতির প্রয়োজন হয়)।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6716 | এ-30778130 | পরিমিত | সব | 7.0 | 5 আগস্ট, 2016 |
মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা
মিডিয়াসার্ভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি পৃথক দুর্বলতার শোষণ প্রয়োজন৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6717 | এ-31350239 | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 7 সেপ্টেম্বর, 2016 |
অ্যাকাউন্ট ম্যানেজার সার্ভিসে বিশেষাধিকারের দুর্বলতা বৃদ্ধি
অ্যাকাউন্ট ম্যানেজার পরিষেবাতে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা ব্যবহারকারীর মিথস্ক্রিয়া ছাড়াই সংবেদনশীল তথ্য পুনরুদ্ধার করতে একটি স্থানীয় দূষিত অ্যাপ্লিকেশন সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তাগুলির একটি স্থানীয় বাইপাস (কার্যকারিতায় অ্যাক্সেস যা সাধারণত ব্যবহারকারীর সূচনা বা ব্যবহারকারীর অনুমতির প্রয়োজন হয়।)
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6718 | এ-30455516 | পরিমিত | সব | 7.0 | গুগল অভ্যন্তরীণ |
ব্লুটুথ-এ বিশেষাধিকার দুর্বলতার উচ্চতা
ব্লুটুথ কম্পোনেন্টে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে ব্যবহারকারীর সম্মতি ছাড়াই যেকোনো ব্লুটুথ ডিভাইসের সাথে যুক্ত করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তাগুলির একটি স্থানীয় বাইপাস (কার্যকারিতায় অ্যাক্সেস যা সাধারণত ব্যবহারকারীর সূচনা বা ব্যবহারকারীর অনুমতির প্রয়োজন হয়)।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6719 | A-29043989 [ 2 ] | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | গুগল অভ্যন্তরীণ |
মিডিয়া সার্ভারে তথ্য প্রকাশের দুর্বলতা
মিডিয়াসার্ভারে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6720 | A-29422020 [ 2 ] [ 3 ] [ 4 ] | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 জুন, 2016 |
| CVE-2016-6721 | এ-30875060 | পরিমিত | সব | 6.0, 6.0.1, 7.0 | 13 আগস্ট, 2016 |
| CVE-2016-6722 | এ-31091777 | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23 আগস্ট, 2016 |
প্রক্সি অটো কনফিগারেশনে পরিষেবার দুর্বলতা অস্বীকার করা
Proxy Auto Config-এ পরিষেবার দুর্বলতা অস্বীকার করা হলে একজন দূরবর্তী আক্রমণকারীকে ডিভাইস হ্যাং বা রিবুট করার জন্য একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করতে সক্ষম করে। এই সমস্যাটিকে মাঝারি হিসাবে রেট করা হয়েছে কারণ এটির জন্য একটি অস্বাভাবিক ডিভাইস কনফিগারেশন প্রয়োজন৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6723 | A-30100884 [ 2 ] | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 11 জুলাই, 2016 |
ইনপুট ম্যানেজার পরিষেবাতে পরিষেবার দুর্বলতা অস্বীকার করা৷
ইনপুট ম্যানেজার পরিষেবাতে পরিষেবার দুর্বলতা অস্বীকার করার ফলে ডিভাইসটিকে ক্রমাগত রিবুট করার জন্য একটি স্থানীয় দূষিত অ্যাপ্লিকেশন সক্ষম করতে পারে৷ এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি একটি অস্থায়ী পরিষেবা অস্বীকৃতি যা ঠিক করতে ফ্যাক্টরি রিসেট প্রয়োজন৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6724 | এ-30568284 | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | গুগল অভ্যন্তরীণ |
2016-11-05 নিরাপত্তা প্যাচ লেভেল—ভালনারেবিলিটি বিশদ
নীচের বিভাগগুলিতে, আমরা 2016-11-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট রেফারেন্স, তীব্রতা, আপডেট করা Google ডিভাইস, আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য), এবং রিপোর্ট করা তারিখ রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করব। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।
Qualcomm ক্রিপ্টো ড্রাইভারের রিমোট কোড এক্সিকিউশন দুর্বলতা
Qualcomm ক্রিপ্টো ড্রাইভারে একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি দূরবর্তী আক্রমণকারীকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। কার্নেলের প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-6725 | এ-30515053 QC-CR#1050970 | সমালোচনামূলক | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 25 জুলাই, 2016 |
কার্নেল ফাইল সিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল ফাইল সিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-8961 | এ-30952474 আপস্ট্রিম কার্নেল | সমালোচনামূলক | পিক্সেল, পিক্সেল এক্সএল | 18 অক্টোবর, 2015 |
| CVE-2016-7911 | এ-30946378 আপস্ট্রিম কার্নেল | সমালোচনামূলক | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | জুলাই 01, 2016 |
| CVE-2016-7910 | এ-30942273 আপস্ট্রিম কার্নেল | সমালোচনামূলক | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | জুলাই 29, 2016 |
কার্নেল SCSI ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল SCSI ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-8962 | এ-30951599 আপস্ট্রিম কার্নেল | সমালোচনামূলক | পিক্সেল, পিক্সেল এক্সএল | 30 অক্টোবর, 2015 |
কার্নেল মিডিয়া ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল মিডিয়া ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-7913 | এ-30946097 আপস্ট্রিম কার্নেল | সমালোচনামূলক | Nexus 6P, Android One, Nexus Player, Pixel, Pixel XL | জানুয়ারী 28, 2016 |
কার্নেল ইউএসবি ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল ইউএসবি ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-7912 | A-30950866 আপস্ট্রিম কার্নেল | সমালোচনামূলক | পিক্সেল সি, পিক্সেল, পিক্সেল এক্সএল | 14 এপ্রিল, 2016 |
কার্নেল আইওন সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল ION সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-6728 | A-30400942* | সমালোচনামূলক | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 25 জুলাই, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
Qualcomm বুটলোডারে বিশেষাধিকার দুর্বলতার উচ্চতা
Qualcomm বুটলোডারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-6729 | A-30977990* QC-CR#977684 | সমালোচনামূলক | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 25 জুলাই, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
NVIDIA GPU ড্রাইভারে বিশেষাধিকারের দুর্বলতার উচ্চতা
NVIDIA GPU ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-6730 | A-30904789* N-CVE-2016-6730 | সমালোচনামূলক | পিক্সেল সি | 16 আগস্ট, 2016 |
| CVE-2016-6731 | A-30906023* N-CVE-2016-6731 | সমালোচনামূলক | পিক্সেল সি | 16 আগস্ট, 2016 |
| CVE-2016-6732 | A-30906599* N-CVE-2016-6732 | সমালোচনামূলক | পিক্সেল সি | 16 আগস্ট, 2016 |
| CVE-2016-6733 | A-30906694* N-CVE-2016-6733 | সমালোচনামূলক | পিক্সেল সি | 16 আগস্ট, 2016 |
| CVE-2016-6734 | A-30907120* N-CVE-2016-6734 | সমালোচনামূলক | পিক্সেল সি | 16 আগস্ট, 2016 |
| CVE-2016-6735 | A-30907701* N-CVE-2016-6735 | সমালোচনামূলক | পিক্সেল সি | 16 আগস্ট, 2016 |
| CVE-2016-6736 | A-30953284* N-CVE-2016-6736 | সমালোচনামূলক | পিক্সেল সি | 18 আগস্ট, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কার্নেল নেটওয়ার্কিং সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল নেটওয়ার্কিং সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-6828 | এ-31183296 আপস্ট্রিম কার্নেল | সমালোচনামূলক | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 18 আগস্ট, 2016 |
কার্নেল সাউন্ড সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল সাউন্ড সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-2184 | এ-30952477 আপস্ট্রিম কার্নেল | সমালোচনামূলক | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 31 মার্চ, 2016 |
কার্নেল আইওন সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল ION সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-6737 | A-30928456* | সমালোচনামূলক | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | গুগল অভ্যন্তরীণ |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কোয়ালকম উপাদানে দুর্বলতা
নিচের সারণীতে Qualcomm উপাদানগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতা রয়েছে এবং Qualcomm AMSS জুন 2016 নিরাপত্তা বুলেটিনে এবং নিরাপত্তা সতর্কতা 80-NV606-17-এ আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে।
| সিভিই | তথ্যসূত্র | নির্দয়তা* | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-6727 | A-31092400** | সমালোচনামূলক | অ্যান্ড্রয়েড ওয়ান | কোয়ালকম অভ্যন্তরীণ |
| CVE-2016-6726 | A-30775830** | উচ্চ | Nexus 6, Android One | কোয়ালকম অভ্যন্তরীণ |
* এই দুর্বলতার জন্য তীব্রতা রেটিং বিক্রেতা দ্বারা নির্ধারিত হয়েছিল।
** এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
প্রবাসীতে দূরবর্তী কোড কার্যকর করার দুর্বলতা
নীচের সারণীতে প্রবাসী লাইব্রেরি প্রভাবিত নিরাপত্তা দুর্বলতা রয়েছে। এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল এক্সপ্যাট এক্সএমএল পার্সারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা, যা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে আক্রমণকারীকে একটি সুবিধাহীন প্রক্রিয়ায় নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এক্সপ্যাট ব্যবহার করে এমন একটি অ্যাপ্লিকেশনে নির্বিচারে কোড সম্পাদনের সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-0718 | এ-28698301 | উচ্চ | কোনটিই না* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 মে, 2016 |
| CVE-2012-6702 | এ-29149404 | পরিমিত | কোনটিই না* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | মার্চ 06, 2016 |
| CVE-2016-5300 | এ-29149404 | পরিমিত | কোনটিই না* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | জুন 04, 2016 |
| CVE-2015-1283 | এ-27818751 | কম | কোনটিই না* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | জুলাই 24, 2015 |
* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷
ওয়েবভিউতে দূরবর্তী কোড কার্যকর করার দুর্বলতা
ওয়েবভিউতে একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একজন দূরবর্তী আক্রমণকারীকে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে যখন ব্যবহারকারী একটি ওয়েবসাইটে নেভিগেট করে। একটি সুবিধাহীন প্রক্রিয়ায় দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2016-6754 | এ-31217937 | উচ্চ | কোনটিই না* | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 আগস্ট, 2016 |
* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷
ফ্রিটাইপে রিমোট কোড এক্সিকিউশন দুর্বলতা
ফ্রিটাইপে একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষভাবে তৈরি করা ফন্ট লোড করতে সক্ষম করতে পারে যাতে একটি সুবিধাবিহীন প্রক্রিয়ায় মেমরি দুর্নীতির কারণ হয়৷ ফ্রিটাইপ ব্যবহার করে এমন অ্যাপ্লিকেশনগুলিতে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|---|
| CVE-2014-9675 | A-24296662 [ 2 ] | উচ্চ | কোনটিই না* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷
কার্নেল কর্মক্ষমতা সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল পারফরম্যান্স সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-8963 | এ-30952077 আপস্ট্রিম কার্নেল | উচ্চ | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 15 ডিসেম্বর, 2015 |
কার্নেল সিস্টেম-কল অডিটিং সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল সিস্টেম-কল অডিটিং সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলে সিস্টেম-কল অডিটিং ব্যাহত করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি গভীরতা বা শোষণ প্রশমন প্রযুক্তিতে কার্নেল-স্তরের প্রতিরক্ষার জন্য একটি সাধারণ বাইপাস।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-6136 | এ-30956807 আপস্ট্রিম কার্নেল | উচ্চ | অ্যান্ড্রয়েড ওয়ান, পিক্সেল সি, নেক্সাস প্লেয়ার | জুলাই 1, 2016 |
Qualcomm ক্রিপ্টো ইঞ্জিন ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
Qualcomm ক্রিপ্টো ইঞ্জিন ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-6738 | A-30034511 QC-CR#1050538 | উচ্চ | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 7 জুলাই, 2016 |
Qualcomm ক্যামেরা ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
Qualcomm ক্যামেরা ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-6739 | A-30074605* QC-CR#1049826 | উচ্চ | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 11 জুলাই, 2016 |
| CVE-2016-6740 | এ-30143904 QC-CR#1056307 | উচ্চ | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 12 জুলাই, 2016 |
| CVE-2016-6741 | এ-30559423 QC-CR#1060554 | উচ্চ | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | জুলাই 28, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
Qualcomm বাস ড্রাইভারের বিশেষাধিকার দুর্বলতা বৃদ্ধি
কোয়ালকম বাস ড্রাইভারের বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-3904 | এ-30311977 QC-CR#1050455 | উচ্চ | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 22 জুলাই, 2016 |
Synaptics টাচস্ক্রিন ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
Synaptics টাচস্ক্রিন ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-6742 | A-30799828* | উচ্চ | Nexus 5X, Android One | 9 আগস্ট, 2016 |
| CVE-2016-6744 | A-30970485* | উচ্চ | Nexus 5X | আগস্ট 19, 2016 |
| CVE-2016-6745 | A-31252388* | উচ্চ | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 1 সেপ্টেম্বর, 2016 |
| CVE-2016-6743 | A-30937462* | উচ্চ | Nexus 9, Android One | গুগল অভ্যন্তরীণ |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কার্নেল উপাদানে তথ্য প্রকাশের দুর্বলতা
মানব ইন্টারফেস ডিভাইস ড্রাইভার, ফাইল সিস্টেম এবং টেলিটাইপ ড্রাইভার সহ কার্নেল উপাদানগুলিতে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি ব্যবহারকারীর স্পষ্ট অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-8964 | A-30951112 আপস্ট্রিম কার্নেল | উচ্চ | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | নভেম্বর 27, 2015 |
| CVE-2016-7915 | এ-30951261 আপস্ট্রিম কার্নেল | উচ্চ | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | জানুয়ারী 19, 2016 |
| CVE-2016-7914 | এ-30513364 আপস্ট্রিম কার্নেল | উচ্চ | পিক্সেল সি, পিক্সেল, পিক্সেল এক্সএল | এপ্রিল 06, 2016 |
| CVE-2016-7916 | এ-30951939 আপস্ট্রিম কার্নেল | উচ্চ | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 05 মে, 2016 |
NVIDIA GPU ড্রাইভারে তথ্য প্রকাশের দুর্বলতা
NVIDIA GPU ড্রাইভারে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি ব্যবহারকারীর স্পষ্ট অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-6746 | A-30955105* N-CVE-2016-6746 | উচ্চ | পিক্সেল সি | 18 আগস্ট, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
মিডিয়াসার্ভারে পরিষেবার দুর্বলতা অস্বীকার করা
মিডিয়াসার্ভারে পরিষেবার দুর্বলতা অস্বীকার করা হলে একজন আক্রমণকারীকে ডিভাইস হ্যাং বা রিবুট করার জন্য একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করতে সক্ষম করে। দূরবর্তী পরিষেবা অস্বীকার করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-6747 | A-31244612* N-CVE-2016-6747 | উচ্চ | নেক্সাস 9 | গুগল অভ্যন্তরীণ |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কার্নেল উপাদানে তথ্য প্রকাশের দুর্বলতা
প্রসেস-গ্রুপিং সাবসিস্টেম এবং নেটওয়ার্কিং সাবসিস্টেম সহ কার্নেল উপাদানগুলিতে একটি তথ্য প্রকাশের দুর্বলতা, একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-7917 | এ-30947055 আপস্ট্রিম কার্নেল | পরিমিত | পিক্সেল সি, পিক্সেল, পিক্সেল এক্সএল | ফেব্রুয়ারী 02, 2016 |
| CVE-2016-6753 | A-30149174* | পরিমিত | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | 13 জুলাই, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
Qualcomm উপাদানে তথ্য প্রকাশের দুর্বলতা
জিপিইউ ড্রাইভার, পাওয়ার ড্রাইভার, এসএমএসএম পয়েন্ট-টু-পয়েন্ট ড্রাইভার এবং সাউন্ড ড্রাইভার সহ কোয়ালকম উপাদানগুলিতে একটি তথ্য প্রকাশের দুর্বলতা, একটি স্থানীয় ক্ষতিকারক অ্যাপ্লিকেশনকে অনুমতির স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-6748 | এ-30076504 QC-CR#987018 | পরিমিত | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 12 জুলাই, 2016 |
| CVE-2016-6749 | এ-30228438 QC-CR#1052818 | পরিমিত | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 12 জুলাই, 2016 |
| CVE-2016-6750 | এ-30312054 QC-CR#1052825 | পরিমিত | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | জুলাই 21, 2016 |
| CVE-2016-3906 | এ-30445973 QC-CR#1054344 | পরিমিত | Nexus 5X, Nexus 6P | জুলাই 27, 2016 |
| CVE-2016-3907 | এ-30593266 QC-CR#1054352 | পরিমিত | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 2 আগস্ট, 2016 |
| CVE-2016-6698 | এ-30741851 QC-CR#1058826 | পরিমিত | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 2 আগস্ট, 2016 |
| CVE-2016-6751 | A-30902162* QC-CR#1062271 | পরিমিত | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | আগস্ট 15, 2016 |
| CVE-2016-6752 | এ-31498159 QC-CR#987051 | পরিমিত | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | গুগল অভ্যন্তরীণ |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
2016-11-06 নিরাপত্তা প্যাচ লেভেল—ভালনারেবিলিটি বিশদ
নীচের বিভাগগুলিতে, আমরা 2016-11-06 নিরাপত্তা প্যাচ স্তরে তালিকাভুক্ত প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি—উপরে দুর্বলতার সারাংশ । সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট রেফারেন্স, তীব্রতা, আপডেট করা Google ডিভাইস, আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য), এবং রিপোর্ট করা তারিখ রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করব। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।
কার্নেল মেমরি সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল মেমরি সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
দ্রষ্টব্য: 2016-11-06-এর একটি নিরাপত্তা প্যাচ স্তর নির্দেশ করে যে এই সমস্যাটি, সেইসাথে 2016-11-01 এবং 2016-11-05-এর সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করা হয়েছে৷
| সিভিই | তথ্যসূত্র | নির্দয়তা | কার্নেল সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-5195 | এ-32141528 আপস্ট্রিম কার্নেল [ 2 ] | সমালোচনামূলক | 3.10, 3.18 | অক্টোবর 12, 2016 |
সাধারণ প্রশ্ন ও উত্তর
এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।
1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?
কিভাবে একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর চেক করতে হয় তা জানতে, Pixel এবং Nexus আপডেট শিডিউলের নির্দেশাবলী পড়ুন।
- 2016-11-01-এর নিরাপত্তা প্যাচ স্তরগুলি বা তার পরে 2016-11-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে৷
- 2016-11-05 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2016-11-05 নিরাপত্তা প্যাচ স্তর এবং সমস্ত পূর্ববর্তী প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করে।
- 2016-11-06 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2016-11-06 নিরাপত্তা প্যাচ স্তর এবং সমস্ত পূর্ববর্তী প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করে।
এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্তরের স্ট্রিং সেট করা উচিত:
- [ro.build.version.security_patch]:[2016-11-01]
- [ro.build.version.security_patch]:[2016-11-05]
- [ro.build.version.security_patch]:[2016-11-06]।
2. কেন এই বুলেটিনে তিনটি নিরাপত্তা প্যাচ স্তর আছে?
এই বুলেটিনে তিনটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতার একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷
- যে ডিভাইসগুলি নভেম্বর 1, 2016 নিরাপত্তা প্যাচ স্তর ব্যবহার করে সেগুলি অবশ্যই সেই নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত করতে হবে।
- যে ডিভাইসগুলি 5 নভেম্বর, 2016-এর নিরাপত্তা প্যাচ স্তর ব্যবহার করে বা নতুন সেগুলিকে অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনগুলিতে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে৷
- যে ডিভাইসগুলি 6 নভেম্বর, 2016-এর নিরাপত্তা প্যাচ স্তর ব্যবহার করে বা নতুন সেগুলিকে অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।
অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷
3. প্রতিটি সমস্যা দ্বারা কোন Google ডিভাইসগুলি প্রভাবিত হয় তা আমি কীভাবে নির্ধারণ করব?
2016-11-01 , 2016-11-05 , এবং 2016-11-06 নিরাপত্তা দুর্বলতার বিবরণ বিভাগে, প্রতিটি টেবিলে একটি আপডেট করা Google ডিভাইস কলাম রয়েছে যা প্রতিটি সমস্যার জন্য আপডেট হওয়া প্রভাবিত Google ডিভাইসগুলির পরিসরকে কভার করে। এই কলামে কয়েকটি বিকল্প রয়েছে:
- সমস্ত Google ডিভাইস : যদি কোনো সমস্যা সমস্ত Nexus এবং Pixel ডিভাইসকে প্রভাবিত করে, তাহলে আপডেট করা Google ডিভাইস কলামে টেবিলটিতে "সমস্ত" থাকবে। "সমস্ত" নিম্নলিখিত সমর্থিত ডিভাইসগুলিকে এনক্যাপসুলেট করে: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, এবং Pixel XL৷
- কিছু Google ডিভাইস : যদি কোনো সমস্যা সমস্ত Google ডিভাইসকে প্রভাবিত না করে, তাহলে প্রভাবিত Google ডিভাইসগুলি আপডেট করা Google ডিভাইস কলামে তালিকাভুক্ত করা হয়।
- কোনো Google ডিভাইস নেই : যদি Android 7.0 চালিত কোনো Google ডিভাইস সমস্যা দ্বারা প্রভাবিত না হয়, তাহলে আপডেট করা Google ডিভাইসের কলামে টেবিলটিতে "কোনটিই" থাকবে না।
4. রেফারেন্স কলামের এন্ট্রিগুলি কিসের সাথে মানচিত্র করে?
দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে। এই উপসর্গগুলি নিম্নরূপ মানচিত্র:
| উপসর্গ | রেফারেন্স |
|---|---|
| ক- | অ্যান্ড্রয়েড বাগ আইডি |
| QC- | কোয়ালকম রেফারেন্স নম্বর |
| এম- | মিডিয়াটেক রেফারেন্স নম্বর |
| এন- | NVIDIA রেফারেন্স নম্বর |
| খ- | ব্রডকম রেফারেন্স নম্বর |
রিভিশন
- নভেম্বর 07, 2016: বুলেটিন প্রকাশিত।
- নভেম্বর 08: CVE-2016-6709-এর জন্য AOSP লিঙ্ক এবং আপডেট বিবরণ অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
- নভেম্বর 17: CVE-2016-6828-এর জন্য অ্যাট্রিবিউশন অন্তর্ভুক্ত করতে বুলেটিন সংশোধন করা হয়েছে।
- ডিসেম্বর 21: আপডেট করা গবেষক ক্রেডিট।