Android নিরাপত্তা বুলেটিন—ডিসেম্বর 2016

ডিসেম্বর 05, 2016 প্রকাশিত | 21 ডিসেম্বর, 2016 আপডেট করা হয়েছে

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ বুলেটিনের পাশাপাশি, আমরা একটি ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Google ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। গুগল ডিভাইসের ফার্মওয়্যারের ছবিগুলোও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। ডিসেম্বর 05, 2016 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে৷ একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে চেক করতে হয় তা জানতে Pixel এবং Nexus আপডেটের সময়সূচী পড়ুন।

07 নভেম্বর, 2016 বা তার আগে বুলেটিনে বর্ণিত সমস্যাগুলির বিষয়ে অংশীদারদের অবহিত করা হয়েছিল৷ এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল ডিভাইস-নির্দিষ্ট কোডে গুরুতর নিরাপত্তা দুর্বলতা যা কার্নেলের প্রসঙ্গে নির্বিচারে কোড সম্পাদনকে সক্ষম করতে পারে, যার ফলে একটি স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনা তৈরি হয়, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে। . প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণ বা অপব্যবহারের কোনও রিপোর্ট নেই। Android নিরাপত্তা প্ল্যাটফর্ম সুরক্ষা এবং SafetyNet- এর মতো পরিষেবা সুরক্ষা সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google পরিষেবা প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে৷

আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷

ঘোষণা

  • এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তরের স্ট্রিং রয়েছে যা Android অংশীদারদের আরও দ্রুত দুর্বলতার একটি উপসেট ঠিক করার জন্য নমনীয়তা প্রদান করে যা সমস্ত Android ডিভাইসে একই রকম। অতিরিক্ত তথ্যের জন্য সাধারণ প্রশ্ন এবং উত্তর দেখুন:
    • 2016-12-01 : আংশিক নিরাপত্তা প্যাচ স্তরের স্ট্রিং। এই নিরাপত্তা প্যাচ স্তরের স্ট্রিংটি নির্দেশ করে যে 2016-12-01 (এবং সমস্ত পূর্ববর্তী নিরাপত্তা প্যাচ স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷
    • 2016-12-05 : সম্পূর্ণ নিরাপত্তা প্যাচ স্তরের স্ট্রিং। এই নিরাপত্তা প্যাচ স্তরের স্ট্রিংটি নির্দেশ করে যে 2016-12-01 এবং 2016-12-05 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷
  • সমর্থিত Google ডিভাইসগুলি ডিসেম্বর 05, 2016 নিরাপত্তা প্যাচ স্তরের সাথে একটি একক OTA আপডেট পাবে।

অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করে, যা ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করার জন্য ডিজাইন করা হয়েছে৷ Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে ডিফল্টরূপে অ্যাপগুলি যাচাই করা সক্রিয় থাকে এবং বিশেষ করে ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন৷ ডিভাইস রুট করার টুলগুলি Google Play-এর মধ্যে নিষিদ্ধ, কিন্তু ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীদের সতর্ক করে যখন তারা একটি শনাক্ত রুটিং অ্যাপ্লিকেশন ইনস্টল করার চেষ্টা করে—সেটি যেখান থেকেই আসুক না কেন। উপরন্তু, ভেরিফাই অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তবে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং সনাক্ত করা অ্যাপ্লিকেশনটি সরানোর চেষ্টা করবে৷
  • উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।

স্বীকৃতি

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

এই নিরাপত্তা বুলেটিনে অবদান রাখার জন্য Bottle Tech-এর MengLuo Gou ( @idhyt3r ), Yong Wang (王勇) ( @ThomasKing2014 ), এবং Google-এর জুবিন মিথ্রাকে ধন্যবাদ জানাতে অতিরিক্ত ধন্যবাদ৷

2016-12-01 নিরাপত্তা প্যাচ স্তর — দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2016-12-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট রেফারেন্স, তীব্রতা, আপডেট করা Google ডিভাইস, আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য), এবং রিপোর্ট করা তারিখ রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করব। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

CURL/LIBCURL-এ দূরবর্তী কোড কার্যকর করার দুর্বলতা

সারণীতে নিরাপত্তা দুর্বলতা রয়েছে যা CURL এবং LIBCURL লাইব্রেরিগুলিকে প্রভাবিত করে৷ সবচেয়ে গুরুতর সমস্যাটি একটি ম্যান-ইন-দ্য-মিডল আক্রমণকারীকে একটি জাল সার্টিফিকেট ব্যবহার করে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। আক্রমণকারীর একটি জাল শংসাপত্রের প্রয়োজনের কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-5419 এ-31271247 উচ্চ সব 7.0 3 আগস্ট, 2016
CVE-2016-5420 এ-31271247 উচ্চ সব 7.0 3 আগস্ট, 2016
CVE-2016-5421 এ-31271247 উচ্চ সব 7.0 3 আগস্ট, 2016

libziparchive-এ বিশেষাধিকারের দুর্বলতার উচ্চতা

libziparchive লাইব্রেরিতে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যা সাধারণত তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-6762 A-31251826 [ 2 ] উচ্চ সব 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 আগস্ট, 2016

টেলিফোনিতে পরিষেবার দুর্বলতা অস্বীকার করা

টেলিফোনিতে পরিষেবার দুর্বলতা অস্বীকার করা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করতে সক্ষম করতে পারে যাতে একটি ডিভাইস হ্যাং বা রিবুট হয়৷ স্থানীয় স্থায়ীভাবে পরিষেবা অস্বীকার করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-6763 এ-31530456 উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 সেপ্টেম্বর 12, 2016

মিডিয়াসার্ভারে পরিষেবার দুর্বলতা অস্বীকার করা

মিডিয়াসার্ভারে পরিষেবার দুর্বলতা অস্বীকার করা হলে একজন আক্রমণকারীকে ডিভাইস হ্যাং বা রিবুট করার জন্য একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করতে সক্ষম করে। দূরবর্তী পরিষেবা অস্বীকার করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-6766 এ-31318219 উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5 সেপ্টেম্বর, 2016
CVE-2016-6765 এ-31449945 উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 7.0 13 সেপ্টেম্বর, 2016
CVE-2016-6764 এ-31681434 উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 সেপ্টেম্বর 22, 2016
CVE-2016-6767 এ-31833604 উচ্চ কোনটিই না* 4.4.4 গুগল অভ্যন্তরীণ

* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷

ফ্রেমসিকোয়েন্স লাইব্রেরিতে রিমোট কোড এক্সিকিউশন দুর্বলতা

ফ্রেমসিকোয়েন্স লাইব্রেরিতে একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে আক্রমণকারীকে একটি সুবিধাহীন প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। ফ্রেমসিকোয়েন্স লাইব্রেরি ব্যবহার করে এমন একটি অ্যাপ্লিকেশনে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-6768 এ-31631842 উচ্চ সব 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 সেপ্টেম্বর 19, 2016

Smart Lock-এ বিশেষাধিকারের দুর্বলতার উচ্চতা

Smart Lock-এ বিশেষাধিকারের দুর্বলতার উচ্চতা একজন স্থানীয় ক্ষতিকারক ব্যবহারকারীকে PIN ছাড়াই Smart Lock সেটিংস অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি আনলক করা ডিভাইসে শারীরিক অ্যাক্সেসের প্রয়োজন যেখানে ব্যবহারকারীর দ্বারা অ্যাক্সেস করা সর্বশেষ সেটিংস ফলকটি ছিল স্মার্ট লক৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-6769 এ-29055171 পরিমিত কোনটিই না* 5.0.2, 5.1.1, 6.0, 6.0.1 27 মে, 2016

* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷

ফ্রেমওয়ার্ক এপিআই-এ বিশেষাধিকার দুর্বলতার উচ্চতা

ফ্রেমওয়ার্ক এপিআই-এ বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অ্যাক্সেস স্তরের বাইরে সিস্টেম ফাংশন অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি একটি সীমাবদ্ধ প্রক্রিয়ার উপর বিধিনিষেধের একটি স্থানীয় বাইপাস।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-6770 এ-30202228 পরিমিত সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 16 জুলাই, 2016

টেলিফোনিতে বিশেষাধিকার দুর্বলতার উচ্চতা

টেলিফোনিতে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অ্যাক্সেস স্তরের বাইরে সিস্টেম ফাংশনগুলি অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি একটি সীমাবদ্ধ প্রক্রিয়ার উপর বিধিনিষেধের একটি স্থানীয় বাইপাস।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-6771 এ-31566390 পরিমিত সব 6.0, 6.0.1, 7.0 সেপ্টেম্বর 17, 2016

Wi-Fi-এ বিশেষাধিকার দুর্বলতার উচ্চতা

Wi-Fi-এ বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি বিশেষাধিকারপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে স্বেচ্ছাচারী কোড কার্যকর করতে একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-6772 A-31856351 [ 2 ] পরিমিত সব 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 30 সেপ্টেম্বর, 2016

মিডিয়া সার্ভারে তথ্য প্রকাশের দুর্বলতা

মিডিয়াসার্ভারে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-6773 A-30481714 [ 2 ] পরিমিত সব 6.0, 6.0.1, 7.0 জুলাই 27, 2016

প্যাকেজ ম্যানেজারে তথ্য প্রকাশের দুর্বলতা

প্যাকেজ ম্যানেজারে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অপারেটিং সিস্টেম সুরক্ষাগুলিকে বাইপাস করতে সক্ষম করতে পারে যা অন্যান্য অ্যাপ্লিকেশন থেকে অ্যাপ্লিকেশন ডেটা বিচ্ছিন্ন করে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-6774 এ-31251489 পরিমিত সব 7.0 আগস্ট 29, 2016

2016-12-05 নিরাপত্তা প্যাচ লেভেল—ভালনারেবিলিটি বিশদ

নীচের বিভাগে, আমরা 2016-12-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট রেফারেন্স, তীব্রতা, আপডেট করা Google ডিভাইস, আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য), এবং রিপোর্ট করা তারিখ রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করব। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

কার্নেল মেমরি সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা

কার্নেল মেমরি সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-4794 এ-31596597
আপস্ট্রিম কার্নেল [ 2 ]
সমালোচনামূলক পিক্সেল সি, পিক্সেল, পিক্সেল এক্সএল এপ্রিল 17, 2016
CVE-2016-5195 এ-32141528
আপস্ট্রিম কার্নেল [ 2 ]
সমালোচনামূলক Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL অক্টোবর 12, 2016

NVIDIA GPU ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

NVIDIA GPU ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-6775 A-31222873*
N-CVE-2016-6775
সমালোচনামূলক নেক্সাস 9 25 আগস্ট, 2016
CVE-2016-6776 A-31680980*
N-CVE-2016-6776
সমালোচনামূলক নেক্সাস 9 সেপ্টেম্বর 22, 2016
CVE-2016-6777 A-31910462*
N-CVE-2016-6777
সমালোচনামূলক নেক্সাস 9 3 অক্টোবর, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কার্নেলে বিশেষাধিকার দুর্বলতার উচ্চতা

কার্নেলে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2015-8966 এ-31435731
আপস্ট্রিম কার্নেল
সমালোচনামূলক কোনটিই না* সেপ্টেম্বর 10, 2016

* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷

NVIDIA ভিডিও ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

NVIDIA ভিডিও ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-6915 A-31471161*
N-CVE-2016-6915
সমালোচনামূলক নেক্সাস 9 13 সেপ্টেম্বর, 2016
CVE-2016-6916 A-32072350*
N-CVE-2016-6916
সমালোচনামূলক Nexus 9, Pixel C 13 সেপ্টেম্বর, 2016
CVE-2016-6917 A-32072253*
N-CVE-2016-6917
সমালোচনামূলক নেক্সাস 9 13 সেপ্টেম্বর, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কার্নেল আইওন ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

কার্নেল ION ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-9120 এ-31568617
আপস্ট্রিম কার্নেল
সমালোচনামূলক Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player 16 সেপ্টেম্বর, 2016

কোয়ালকম উপাদানে দুর্বলতা

নিম্নলিখিত দুর্বলতাগুলি Qualcomm উপাদানগুলিকে প্রভাবিত করে এবং Qualcomm AMSS নভেম্বর 2015 নিরাপত্তা বুলেটিনে আরও বিশদে বর্ণনা করা হয়েছে৷

সিভিই তথ্যসূত্র নির্দয়তা* আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-8411 A-31805216** সমালোচনামূলক Nexus 6, Nexus 6P, Android One কোয়ালকম অভ্যন্তরীণ

* এই দুর্বলতার জন্য তীব্রতা রেটিং বিক্রেতা দ্বারা নির্ধারিত হয়েছিল।

** এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কার্নেল ফাইল সিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা

কার্নেল ফাইল সিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অপারেটিং সিস্টেম সুরক্ষাগুলিকে বাইপাস করতে সক্ষম করতে পারে যা অন্যান্য অ্যাপ্লিকেশন থেকে অ্যাপ্লিকেশন ডেটা বিচ্ছিন্ন করে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যা সাধারণত তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2014-4014 এ-31252187
আপস্ট্রিম কার্নেল
উচ্চ নেক্সাস 6, নেক্সাস প্লেয়ার জুন 10, 2014

কার্নেলে বিশেষাধিকার দুর্বলতার উচ্চতা

কার্নেলে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি পৃথক দুর্বলতার শোষণ প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2015-8967 এ-31703084
আপস্ট্রিম কার্নেল
উচ্চ Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Pixel, Pixel XL জানুয়ারী 8, 2015

এইচটিসি সাউন্ড কোডেক ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

এইচটিসি সাউন্ড কোডেক ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-6778 A-31384646* উচ্চ নেক্সাস 9 25 ফেব্রুয়ারী, 2016
CVE-2016-6779 A-31386004* উচ্চ নেক্সাস 9 25 ফেব্রুয়ারী, 2016
CVE-2016-6780 A-31251496* উচ্চ নেক্সাস 9 30 আগস্ট, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

মিডিয়াটেক ড্রাইভারে বিশেষাধিকারের দুর্বলতা বৃদ্ধি

মিডিয়াটেক ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-6492 এ-28175122
MT-ALPS02696413
উচ্চ কোনটিই না* 11 এপ্রিল, 2016
CVE-2016-6781 এ-31095175
MT-ALPS02943455
উচ্চ কোনটিই না* 22 আগস্ট, 2016
CVE-2016-6782 এ-31224389
MT-ALPS02943506
উচ্চ কোনটিই না* 24 আগস্ট, 2016
CVE-2016-6783 A-31350044
MT-ALPS02943437
উচ্চ কোনটিই না* সেপ্টেম্বর 6, 2016
CVE-2016-6784 এ-31350755
MT-ALPS02961424
উচ্চ কোনটিই না* সেপ্টেম্বর 6, 2016
CVE-2016-6785 এ-31748056
MT-ALPS02961400
উচ্চ কোনটিই না* 25 সেপ্টেম্বর, 2016

* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷

Qualcomm মিডিয়া কোডেক্সে বিশেষাধিকার দুর্বলতার উচ্চতা

Qualcomm মিডিয়া কোডেক্সে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যা সাধারণত তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-6761 A-29421682*
QC-CR#1055792
উচ্চ Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL 16 জুন, 2016
CVE-2016-6760 A-29617572*
QC-CR#1055783
উচ্চ Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL জুন 23, 2016
CVE-2016-6759 A-29982686*
QC-CR#1055766
উচ্চ Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL জুলাই 4, 2016
CVE-2016-6758 A-30148882*
QC-CR#1071731
উচ্চ Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL 13 জুলাই, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

Qualcomm ক্যামেরা ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

Qualcomm ক্যামেরা ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-6755 এ-30740545
QC-CR#1065916
উচ্চ Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 3 আগস্ট, 2016

কার্নেল কর্মক্ষমতা সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা

কার্নেল পারফরম্যান্স সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-6786 A-30955111 আপস্ট্রিম কার্নেল উচ্চ Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 18 আগস্ট, 2016
CVE-2016-6787 A-31095224 আপস্ট্রিম কার্নেল উচ্চ Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 22 আগস্ট, 2016

MediaTek I2C ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

MediaTek I2C ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-6788 এ-31224428
MT-ALPS02943467
উচ্চ কোনটিই না* 24 আগস্ট, 2016

* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷

NVIDIA libomx লাইব্রেরিতে বিশেষাধিকার দুর্বলতার উচ্চতা

NVIDIA libomx লাইব্রেরিতে (libnvomx) বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি বিশেষাধিকারপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে স্বেচ্ছাচারী কোড চালানোর জন্য একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যা সাধারণত তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-6789 A-31251973*
N-CVE-2016-6789
উচ্চ পিক্সেল সি আগস্ট 29, 2016
CVE-2016-6790 A-31251628*
N-CVE-2016-6790
উচ্চ পিক্সেল সি 28 আগস্ট, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

Qualcomm সাউন্ড ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

Qualcomm সাউন্ড ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-6791 এ-31252384
QC-CR#1071809
উচ্চ Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 31 আগস্ট, 2016
CVE-2016-8391 এ-31253255
QC-CR#1072166
উচ্চ Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 31 আগস্ট, 2016
CVE-2016-8392 এ-31385862
QC-CR#1073136
উচ্চ Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL সেপ্টেম্বর 8, 2016

কার্নেল নিরাপত্তা সাবসিস্টেমে বিশেষাধিকার দুর্বলতা বৃদ্ধি

কার্নেল সিকিউরিটি সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2015-7872 এ-31253168
আপস্ট্রিম কার্নেল
উচ্চ Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL 31 আগস্ট, 2016

Synaptics টাচস্ক্রিন ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

Synaptics টাচস্ক্রিন ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-8393 A-31911920* উচ্চ Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL সেপ্টেম্বর 8, 2016
CVE-2016-8394 A-31913197* উচ্চ Nexus 9, Android One সেপ্টেম্বর 8, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2014-9909 এ-31676542
B-RB#26684
উচ্চ কোনটিই না* 21শে সেপ্টেম্বর, 2016
CVE-2014-9910 এ-31746399
B-RB#26710
উচ্চ কোনটিই না* সেপ্টেম্বর 26, 2016

* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷

মিডিয়াটেক ভিডিও ড্রাইভারে তথ্য প্রকাশের দুর্বলতা

মিডিয়াটেক ভিডিও ড্রাইভারে তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অনুমতির মাত্রার বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি ব্যবহারকারীর স্পষ্ট অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-8396 এ-31249105 উচ্চ কোনটিই না* 26 অগাস্ট, 2016

* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷

NVIDIA ভিডিও ড্রাইভারে তথ্য প্রকাশের দুর্বলতা

NVIDIA ভিডিও ড্রাইভারে তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অনুমতির মাত্রার বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি ব্যবহারকারীর স্পষ্ট অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-8397 A-31385953*
N-CVE-2016-8397
উচ্চ নেক্সাস 9 সেপ্টেম্বর 8, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

জিপিএসে পরিষেবার দুর্বলতা অস্বীকার করা

কোয়ালকম জিপিএস কম্পোনেন্টে পরিষেবার দুর্বলতা অস্বীকার করা একটি দূরবর্তী আক্রমণকারীকে একটি ডিভাইস হ্যাং বা রিবুট করতে সক্ষম করতে পারে। পরিষেবার অস্থায়ী দূরবর্তী অস্বীকৃতির সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-5341 A-31470303* উচ্চ Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL জুন 21, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

NVIDIA ক্যামেরা ড্রাইভারের পরিষেবার দুর্বলতা অস্বীকার

NVIDIA ক্যামেরা ড্রাইভারে পরিষেবার দুর্বলতা অস্বীকার করা একজন আক্রমণকারীকে পরিষেবার স্থানীয় স্থায়ী অস্বীকৃতি ঘটাতে সক্ষম করতে পারে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে। স্থানীয় স্থায়ীভাবে পরিষেবা অস্বীকার করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-8395 A-31403040*
N-CVE-2016-8395
উচ্চ পিক্সেল সি সেপ্টেম্বর 9, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কার্নেল নেটওয়ার্কিং সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা

কার্নেল নেটওয়ার্কিং সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন এবং বর্তমান কম্পাইলার অপ্টিমাইজেশানগুলি দুর্বল কোডে অ্যাক্সেস সীমাবদ্ধ করে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-8399 A-31349935* পরিমিত Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 5 সেপ্টেম্বর, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

Qualcomm উপাদানে তথ্য প্রকাশের দুর্বলতা

ক্যামেরা ড্রাইভার এবং ভিডিও ড্রাইভার সহ Qualcomm উপাদানগুলিতে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অনুমতির স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-6756 এ-29464815
QC-CR#1042068 [ 2 ]
পরিমিত Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL জুন 17, 2016
CVE-2016-6757 এ-30148242
QC-CR#1052821
পরিমিত Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL 13 জুলাই, 2016

NVIDIA librm লাইব্রেরিতে তথ্য প্রকাশের দুর্বলতা

NVIDIA librm লাইব্রেরিতে (libnvrm) তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-8400 A-31251599*
N-CVE-2016-8400
পরিমিত পিক্সেল সি আগস্ট 29, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কার্নেল উপাদানে তথ্য প্রকাশের দুর্বলতা

আইওন সাবসিস্টেম, বাইন্ডার, ইউএসবি ড্রাইভার এবং নেটওয়ার্কিং সাবসিস্টেম সহ কার্নেল উপাদানগুলিতে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-8401 A-31494725* পরিমিত Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 13 সেপ্টেম্বর, 2016
CVE-2016-8402 A-31495231* পরিমিত Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 13 সেপ্টেম্বর, 2016
CVE-2016-8403 A-31495348* পরিমিত নেক্সাস 9 13 সেপ্টেম্বর, 2016
CVE-2016-8404 A-31496950* পরিমিত নেক্সাস 9 13 সেপ্টেম্বর, 2016
CVE-2016-8405 A-31651010* পরিমিত Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 21শে সেপ্টেম্বর, 2016
CVE-2016-8406 A-31796940* পরিমিত Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL সেপ্টেম্বর 27, 2016
CVE-2016-8407 A-31802656* পরিমিত Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL সেপ্টেম্বর 28, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

NVIDIA ভিডিও ড্রাইভারে তথ্য প্রকাশের দুর্বলতা

NVIDIA ভিডিও ড্রাইভারে তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অনুমতির মাত্রার বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-8408 A-31496571*
N-CVE-2016-8408
পরিমিত নেক্সাস 9 13 সেপ্টেম্বর, 2016
CVE-2016-8409 A-31495687*
N-CVE-2016-8409
পরিমিত নেক্সাস 9 13 সেপ্টেম্বর, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি Google ডেভেলপার সাইট থেকে উপলব্ধ Google ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

Qualcomm সাউন্ড ড্রাইভারে তথ্য প্রকাশের দুর্বলতা

Qualcomm সাউন্ড ড্রাইভারে তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অনুমতির মাত্রার বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-8410 এ-31498403
QC-CR#987010
পরিমিত Nexus 5X, Nexus 6, Nexus 6P, Android One গুগল অভ্যন্তরীণ

সাধারণ প্রশ্ন ও উত্তর

এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

কিভাবে একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর চেক করতে হয় তা জানতে, Pixel এবং Nexus আপডেট শিডিউলের নির্দেশাবলী পড়ুন।

  • 2016-12-01 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2016-12-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।
  • 2016-12-05 এর নিরাপত্তা প্যাচ স্তরগুলি বা তার পরে 2016-12-05 সুরক্ষা প্যাচ স্তর এবং সমস্ত পূর্ববর্তী প্যাচ স্তরগুলির সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে৷

এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:

  • [ro.build.version.security_patch]:[2016-12-01]
  • [ro.build.version.security_patch]:[2016-12-05]

2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?

এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷

  • যে ডিভাইসগুলি ডিসেম্বর 1, 2016 নিরাপত্তা প্যাচ স্তর ব্যবহার করে সেগুলিতে সেই নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত করতে হবে।
  • যে ডিভাইসগুলি 5 ডিসেম্বর, 2016-এর নিরাপত্তা প্যাচ স্তর ব্যবহার করে বা নতুন সেগুলিকে অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।

অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷

3. প্রতিটি সমস্যা দ্বারা কোন Google ডিভাইসগুলি প্রভাবিত হয় তা আমি কীভাবে নির্ধারণ করব?

2016-12-01 এবং 2016-12-05 নিরাপত্তা দুর্বলতার বিবরণ বিভাগে, প্রতিটি টেবিলে একটি আপডেট করা Google ডিভাইসের কলাম রয়েছে যা প্রতিটি সমস্যার জন্য আপডেট হওয়া প্রভাবিত Google ডিভাইসগুলির পরিসর কভার করে। এই কলামে কয়েকটি বিকল্প রয়েছে:

  • সমস্ত Google ডিভাইস : যদি কোনো সমস্যা সমস্ত এবং পিক্সেল ডিভাইসগুলিকে প্রভাবিত করে, তাহলে আপডেট করা Google ডিভাইসের কলামে টেবিলটিতে "সমস্ত" থাকবে। "সমস্ত" নিম্নলিখিত সমর্থিত ডিভাইসগুলিকে এনক্যাপসুলেট করে: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, এবং Pixel XL৷
  • কিছু Google ডিভাইস : যদি কোনো সমস্যা সমস্ত Google ডিভাইসকে প্রভাবিত না করে, তাহলে প্রভাবিত Google ডিভাইসগুলি আপডেট করা Google ডিভাইস কলামে তালিকাভুক্ত করা হয়।
  • কোনো Google ডিভাইস নেই : যদি Android 7.0 চালিত কোনো Google ডিভাইস সমস্যা দ্বারা প্রভাবিত না হয়, তাহলে আপডেট করা Google ডিভাইসের কলামে টেবিলটিতে "কোনটিই" থাকবে না।

4. রেফারেন্স কলামের এন্ট্রিগুলি কিসের সাথে মানচিত্র করে?

দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে। এই উপসর্গগুলি নিম্নরূপ মানচিত্র:

উপসর্গ রেফারেন্স
ক- অ্যান্ড্রয়েড বাগ আইডি
QC- কোয়ালকম রেফারেন্স নম্বর
এম- মিডিয়াটেক রেফারেন্স নম্বর
এন- NVIDIA রেফারেন্স নম্বর
খ- ব্রডকম রেফারেন্স নম্বর

রিভিশন

  • ডিসেম্বর 05, 2016: বুলেটিন প্রকাশিত।
  • ডিসেম্বর 07, 2016: CVE-2016-6915, CVE-2016-6916 এবং CVE-2016-6917-এর জন্য AOSP লিঙ্ক এবং আপডেট করা অ্যাট্রিবিউশন অন্তর্ভুক্ত করতে বুলেটিন সংশোধন করা হয়েছে।
  • ডিসেম্বর 21, 2016: CVE-2016-8411 বর্ণনা এবং সাধারণ প্রশ্ন ও উত্তরে ভুল সংশোধন করা হয়েছে।