প্রকাশিত জানুয়ারী 03, 2017 | 2 ফেব্রুয়ারি, 2017 আপডেট করা হয়েছে
অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ বুলেটিনের পাশাপাশি, আমরা একটি ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Google ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। গুগল ডিভাইসের ফার্মওয়্যারের ছবিগুলোও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। 05 জানুয়ারী, 2017 বা তার পরের নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে৷ একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে চেক করতে হয় তা জানতে Pixel এবং Nexus আপডেটের সময়সূচী পড়ুন।
05 ডিসেম্বর, 2016 বা তার আগে বুলেটিনে বর্ণিত সমস্যাগুলির বিষয়ে অংশীদারদের অবহিত করা হয়েছিল৷ এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷
এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।
আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণ বা অপব্যবহারের কোনও রিপোর্ট নেই। Android নিরাপত্তা প্ল্যাটফর্ম সুরক্ষা এবং SafetyNet- এর মতো পরিষেবা সুরক্ষা সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google পরিষেবা প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে৷
আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷
ঘোষণা
- এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তরের স্ট্রিং রয়েছে যা Android অংশীদারদের আরও দ্রুত দুর্বলতার একটি উপসেট ঠিক করার জন্য নমনীয়তা প্রদান করে যা সমস্ত Android ডিভাইসে একই রকম। অতিরিক্ত তথ্যের জন্য সাধারণ প্রশ্ন এবং উত্তর দেখুন:
- 2017-01-01 : আংশিক নিরাপত্তা প্যাচ স্তরের স্ট্রিং। এই নিরাপত্তা প্যাচ স্তরের স্ট্রিংটি নির্দেশ করে যে 2017-01-01 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷
- 2017-01-05 : সম্পূর্ণ নিরাপত্তা প্যাচ স্তরের স্ট্রিং। এই নিরাপত্তা প্যাচ স্তরের স্ট্রিংটি নির্দেশ করে যে 2017-01-01 এবং 2017-01-05 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷
- সমর্থিত Google ডিভাইসগুলি জানুয়ারী 05, 2017 নিরাপত্তা প্যাচ স্তরের সাথে একটি একক OTA আপডেট পাবে।
নিরাপত্তা দুর্বলতার সারাংশ
নীচের সারণীগুলিতে নিরাপত্তা দুর্বলতার একটি তালিকা, সাধারণ দুর্বলতা এবং এক্সপোজার আইডি (CVE), মূল্যায়ন করা তীব্রতা এবং Google ডিভাইসগুলি প্রভাবিত হয়েছে কিনা তা রয়েছে৷ প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।
অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন
এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
- Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করে, যা ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করার জন্য ডিজাইন করা হয়েছে৷ Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে ডিফল্টরূপে অ্যাপগুলি যাচাই করা সক্রিয় থাকে এবং বিশেষ করে ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন৷ ডিভাইস রুট করার টুলগুলি Google Play-এর মধ্যে নিষিদ্ধ, কিন্তু ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীদের সতর্ক করে যখন তারা একটি শনাক্ত রুটিং অ্যাপ্লিকেশন ইনস্টল করার চেষ্টা করে—সেটি যেখান থেকেই আসুক না কেন। উপরন্তু, ভেরিফাই অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তবে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং সনাক্ত করা অ্যাপ্লিকেশনটি সরানোর চেষ্টা করবে৷
- উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।
স্বীকৃতি
আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:
- আলেকজান্দ্রু ব্লান্ডা: CVE-2017-0390
- কপারহেড সিকিউরিটির ড্যানিয়েল মাইকে: CVE-2017-0397
- Xuanwu Lab, Tencent এর Daxing Guo ( @freener0 ): CVE-2017-0386
- ডেরেক ( @derrekr6 ): CVE-2017-0392
- KeenLab ( @keen_lab ) এর ডি শেন ( @returnsme ), Tencent: CVE-2016-8412, CVE-2016-8444, CVE-2016-8427, CVE-2017-0403
- শেলফিশ গ্রিল দলের ডনফোস (অরবিন্দ মাচিরি), ইউসি সান্তা বারবারা: CVE-2016-8448, CVE-2016-8470, CVE-2016-8471, CVE-2016-8472
- MS509 টিমের En He ( @heeeeen4x ) : CVE-2017-0394
- Gengjia Chen ( @chengjia4574 ) এবং IceSword Lab এর pjf, Qihoo 360 Technology Co. Ltd.: CVE-2016-8464
- Google WebM টিম: CVE-2017-0393
- আলফা টিমের গুয়াং গং (龚广) ( @oldfresher ), Qihoo 360 Technology Co. Ltd. : CVE-2017-0387
- আলফা টিমের হাও চেন এবং গুয়াং গং, কিহু 360 প্রযুক্তি কোং লিমিটেড: CVE-2016-8415, CVE-2016-8454, CVE-2016-8455, CVE-2016-8456, CVE-2016-8457, CVE-2016-8457 -8465
- Jianqiang Zhao ( @jianqiangzhao ) এবং IceSword Lab, Qihoo 360 এর pjf: CVE-2016-8475
- জন সোয়ার ( @jcase ) এবং শন বিউপ্রে ( @firewaterdevs ): CVE-2016-8462
- জন সোয়ার ( @jcase ), শন বিউপ্রে ( @firewaterdevs ), এবং বেন অ্যাক্টিস ( @Ben_RA ): CVE-2016-8461
- মিংজিয়ান ঝৌ (@ মিংজিয়ান_ঝোউ ), ইউকি লু ( @নিকোস233 ), চিয়াচিহ উ (@ চিয়াচিহ_উউ ), এবং C0RE টিমের জুক্সিয়ান জিয়াং: CVE-2017-0383
- সন্ন্যাসী অ্যাভেল: CVE-2017-0396, CVE-2017-0399
- Trend Micro-এর Peter Pi ( @heisecode ): CVE-2016-8469, CVE-2016-8424, CVE-2016-8428, CVE-2016-8429, CVE-2016-8460, CVE-2016, CVE-847 8474
- কিদান হে (何淇丹) ( @flanker_hqd ) KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0382
- আইবিএম সিকিউরিটি এক্স-ফোর্সের রোই হে এবং মাইকেল গোবারম্যান: CVE-2016-8467
- ট্রেন্ড মাইক্রো মোবাইল থ্রেট রিসার্চ টিমের সেভেন শেন ( @lingtongshen ): CVE-2016-8466
- স্টিফেন মোরো: CVE-2017-0389
- মোবাইল থ্রেট রিসার্চ টিমের VEO ( @VYSEa ), ট্রেন্ড মাইক্রো : CVE-2017-0381
- আলিবাবা ইনকর্পোরেটেডের ওয়েইচাও সান ( @সানব্লেট ): CVE-2017-0391
- Wenke Dou , Chiachih Wu ( @chiachih_wu ), এবং C0RE টিমের Xuxian জিয়াং: CVE-2017-0402, CVE-2017-0398
- Wenke Dou , Hanxiang Wen , Chiachih Wu ( @chiachih_wu ), এবং C0RE টিমের Xuxian জিয়াং: CVE-2017-0400
- Wenke Dou , Hongli Han , Chiachih Wu ( @chiachih_wu ), এবং C0RE টিমের Xuxian জিয়াং: CVE-2017-0384, CVE-2017-0385
- Wenke Dou , Yuqi Lu ( @nikos233 ), Chiachih Wu ( @chiachih_wu ), এবং C0RE টিমের Xuxian জিয়াং: CVE-2017-0401
- ইয়াও জুন , ইউয়ান-সুং লো , চিয়াচিহ উ ( @chiachih_wu ), এবং C0RE দলের জুক্সিয়ান জিয়াং: CVE-2016-8431, CVE-2016-8432, CVE-2016-8435
- ইয়ং ওয়াং (王勇) ( @ThomasKing2014 ) এবং Alibaba Inc. এর জুন চেং: CVE-2017-0404
- ইউয়ান-সুং লো , টং লিন , চিয়াচিহ উ ( @chiachih_wu ), এবং C0RE দলের জুক্সিয়ান জিয়াং: CVE-2016-8425, CVE-2016-8426, CVE-2016-8449
- ইউয়ান-সুং লো , ইয়ানফেং ওয়াং , চিয়াচিহ উ ( @chiachih_wu ), এবং C0RE দলের জুক্সিয়ান জিয়াং: CVE-2016-8430, CVE-2016-8482
- টেনসেন্ট সিকিউরিটি প্ল্যাটফর্ম বিভাগের Yuxiang Li ( @Xbalien29 ): CVE-2017-0395
- নিরাপত্তা গবেষণা ল্যাব, চিতা মোবাইলের ঝানপেং ঝাও (行之) ( @0xr0ot ) : CVE-2016-8451
আমরা এই বুলেটিনে তাদের অবদানের জন্য নিম্নলিখিত গবেষকদের ধন্যবাদ জানাতে চাই:
- আলিবাবা মোবাইল সিকিউরিটি গ্রুপের বাওজেং ডিং, চেংমিং ইয়াং, পেং জিয়াও, নিং ইউ, ইয়াং ডং, চাও ইয়াং, ই ঝাং এবং ইয়াং গান
- ট্রেন্ড মাইক্রো-এর পিটার পাই ( @heisecode )
- গুগলের জুবিন মিত্রা
2017-01-01 নিরাপত্তা প্যাচ স্তর — দুর্বলতার বিবরণ
নীচের বিভাগে, আমরা 2017-01-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট রেফারেন্স, তীব্রতা, আপডেট করা Google ডিভাইস, আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য), এবং রিপোর্ট করা তারিখ রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করব। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।
সি-এরে রিমোট কোড এক্সিকিউশন দুর্বলতা
c-ares-এ একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি বিশেষভাবে তৈরি করা অনুরোধ ব্যবহার করে আক্রমণকারীকে একটি সুবিধাহীন প্রক্রিয়ার পরিপ্রেক্ষিতে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই লাইব্রেরি ব্যবহার করে এমন একটি অ্যাপ্লিকেশনে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
---|---|---|---|---|---|
CVE-2016-5180 | এ-32205736 | উচ্চ | সব | 7.0 | সেপ্টেম্বর 29, 2016 |
ফ্রেমসিকোয়েন্সে রিমোট কোড এক্সিকিউশন দুর্বলতা
ফ্রেমসিকোয়েন্স লাইব্রেরিতে একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে আক্রমণকারীকে একটি সুবিধাহীন প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। ফ্রেমসিকোয়েন্স লাইব্রেরি ব্যবহার করে এমন একটি অ্যাপ্লিকেশনে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
---|---|---|---|---|---|
CVE-2017-0382 | এ-32338390 | উচ্চ | সব | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21শে অক্টোবর, 2016 |
ফ্রেমওয়ার্ক এপিআই-এ বিশেষাধিকার দুর্বলতার উচ্চতা
ফ্রেমওয়ার্ক এপিআই-এ বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যা সাধারণত তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
---|---|---|---|---|---|
CVE-2017-0383 | এ-31677614 | উচ্চ | সব | 7.0, 7.1.1 | 21শে সেপ্টেম্বর, 2016 |
অডিও সার্ভারে বিশেষাধিকারের দুর্বলতার উচ্চতা
অডিওসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যা সাধারণত তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
---|---|---|---|---|---|
CVE-2017-0384 | এ-32095626 | উচ্চ | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 অক্টোবর, 2016 |
CVE-2017-0385 | A-32585400 | উচ্চ | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 অক্টোবর, 2016 |
libnl-এ বিশেষাধিকার দুর্বলতার উচ্চতা
libnl লাইব্রেরিতে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যা সাধারণত তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
---|---|---|---|---|---|
CVE-2017-0386 | A-32255299 | উচ্চ | সব | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 অক্টোবর, 2016 |
মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা
মিডিয়াসার্ভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যা সাধারণত তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
---|---|---|---|---|---|
CVE-2017-0387 | এ-32660278 | উচ্চ | সব | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | নভেম্বর 4, 2016 |
এক্সটার্নাল স্টোরেজ প্রোভাইডারে তথ্য প্রকাশের দুর্বলতা
বাহ্যিক সঞ্চয়স্থান সরবরাহকারীতে একটি তথ্য প্রকাশের দুর্বলতা স্থানীয় মাধ্যমিক ব্যবহারকারীকে প্রাথমিক ব্যবহারকারীর দ্বারা সন্নিবেশিত একটি বহিরাগত স্টোরেজ SD কার্ড থেকে ডেটা পড়তে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি অনুমতি ছাড়াই ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
---|---|---|---|---|---|
CVE-2017-0388 | এ-32523490 | উচ্চ | সব | 6.0, 6.0.1, 7.0, 7.1.1 | গুগল অভ্যন্তরীণ |
মূল নেটওয়ার্কিংয়ে পরিষেবার দুর্বলতা অস্বীকার করা
কোর নেটওয়ার্কিং-এ পরিষেবার দুর্বলতা অস্বীকার করা একটি দূরবর্তী আক্রমণকারীকে একটি ডিভাইস হ্যাং বা রিবুট করার জন্য বিশেষভাবে তৈরি করা নেটওয়ার্ক প্যাকেট ব্যবহার করতে সক্ষম করতে পারে। দূরবর্তী পরিষেবা অস্বীকার করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
---|---|---|---|---|---|
CVE-2017-0389 | A-31850211 [ 2 ] [ 3 ] | উচ্চ | সব | 6.0, 6.0.1, 7.0, 7.1.1 | 20 জুলাই, 2016 |
মিডিয়াসার্ভারে পরিষেবার দুর্বলতা অস্বীকার করা
মিডিয়াসার্ভারে পরিষেবার দুর্বলতা অস্বীকার করার ফলে একটি ডিভাইস হ্যাং বা রিবুট হওয়ার জন্য একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করতে দূরবর্তী আক্রমণকারীকে সক্ষম করতে পারে। দূরবর্তী পরিষেবা অস্বীকার করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
---|---|---|---|---|---|
CVE-2017-0390 | এ-31647370 | উচ্চ | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | সেপ্টেম্বর 19, 2016 |
CVE-2017-0391 | এ-32322258 | উচ্চ | সব | 6.0, 6.0.1, 7.0, 7.1.1 | 20 অক্টোবর, 2016 |
CVE-2017-0392 | এ-32577290 | উচ্চ | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | অক্টোবর 29, 2016 |
CVE-2017-0393 | এ-30436808 | উচ্চ | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | গুগল অভ্যন্তরীণ |
টেলিফোনিতে পরিষেবার দুর্বলতা অস্বীকার করা
টেলিফোনিতে পরিষেবার দুর্বলতা অস্বীকার করা একটি দূরবর্তী আক্রমণকারীকে একটি ডিভাইস হ্যাং বা রিবুট করতে সক্ষম করতে পারে। দূরবর্তী পরিষেবা অস্বীকার করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
---|---|---|---|---|---|
CVE-2017-0394 | এ-31752213 | উচ্চ | সব | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 23 সেপ্টেম্বর, 2016 |
পরিচিতিগুলিতে বিশেষাধিকারের দুর্বলতার উচ্চতা
পরিচিতিগুলিতে বিশেষাধিকারের দুর্বলতার উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে নীরবে যোগাযোগের তথ্য তৈরি করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তাগুলির একটি স্থানীয় বাইপাস (কার্যকারিতায় অ্যাক্সেস যা সাধারণত ব্যবহারকারীর সূচনা বা ব্যবহারকারীর অনুমতির প্রয়োজন হয়)।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
---|---|---|---|---|---|
CVE-2017-0395 | এ-32219099 | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15 অক্টোবর, 2016 |
মিডিয়া সার্ভারে তথ্য প্রকাশের দুর্বলতা
মিডিয়াসার্ভারে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
---|---|---|---|---|---|
CVE-2017-0381 | এ-31607432 | পরিমিত | সব | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | সেপ্টেম্বর 18, 2016 |
CVE-2017-0396 | এ-31781965 | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | সেপ্টেম্বর 27, 2016 |
CVE-2017-0397 | A-32377688 | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21শে অক্টোবর, 2016 |
অডিও সার্ভারে তথ্য প্রকাশের দুর্বলতা
অডিও সার্ভারে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | AOSP সংস্করণ আপডেট করা হয়েছে | তারিখ রিপোর্ট |
---|---|---|---|---|---|
CVE-2017-0398 | এ-32438594 | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 অক্টোবর, 2016 |
CVE-2017-0398 | A-32635664 | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 অক্টোবর, 2016 |
CVE-2017-0398 | A-32624850 | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 অক্টোবর, 2016 |
CVE-2017-0399 | A-32247948 [ 2 ] | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 অক্টোবর, 2016 |
CVE-2017-0400 | A-32584034 [ 2 ] | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 অক্টোবর, 2016 |
CVE-2017-0401 | এ-32448258 | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 অক্টোবর, 2016 |
CVE-2017-0402 | এ-৩২৪৩৬৩৪১ [ ২ ] | পরিমিত | সব | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 অক্টোবর, 2016 |
2017-01-05 নিরাপত্তা প্যাচ লেভেল—ভালনারেবিলিটি বিশদ
নীচের বিভাগগুলিতে, আমরা 2017-01-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট রেফারেন্স, তীব্রতা, আপডেট করা Google ডিভাইস, আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য), এবং রিপোর্ট করা তারিখ রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করব। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।
কার্নেল মেমরি সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল মেমরি সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2015-3288 | এ-32460277 আপস্ট্রিম কার্নেল | সমালোচনামূলক | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 9 জুলাই, 2015 |
Qualcomm বুটলোডারে বিশেষাধিকার দুর্বলতার উচ্চতা
Qualcomm বুটলোডারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8422 | এ-31471220 QC-CR#979426 | সমালোচনামূলক | Nexus 6, Nexus 6P, Pixel, Pixel XL | 22 জুলাই, 2016 |
CVE-2016-8423 | এ-31399736 QC-CR#1000546 | সমালোচনামূলক | Nexus 6P, Pixel, Pixel XL | 24 আগস্ট, 2016 |
কার্নেল ফাইল সিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল ফাইল সিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2015-5706 | A-32289301 আপস্ট্রিম কার্নেল | সমালোচনামূলক | কোনটিই না* | 1 আগস্ট, 2016 |
* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷
NVIDIA GPU ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
NVIDIA GPU ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8424 | A-31606947* N-CVE-2016-8424 | সমালোচনামূলক | নেক্সাস 9 | সেপ্টেম্বর 17, 2016 |
CVE-2016-8425 | A-31797770* N-CVE-2016-8425 | সমালোচনামূলক | নেক্সাস 9 | সেপ্টেম্বর 28, 2016 |
CVE-2016-8426 | A-31799206* N-CVE-2016-8426 | সমালোচনামূলক | নেক্সাস 9 | সেপ্টেম্বর 28, 2016 |
CVE-2016-8482 | A-31799863* N-CVE-2016-8482 | সমালোচনামূলক | নেক্সাস 9 | সেপ্টেম্বর 28, 2016 |
CVE-2016-8427 | A-31799885* N-CVE-2016-8427 | সমালোচনামূলক | নেক্সাস 9 | সেপ্টেম্বর 28, 2016 |
CVE-2016-8428 | A-31993456* N-CVE-2016-8428 | সমালোচনামূলক | নেক্সাস 9 | 6 অক্টোবর, 2016 |
CVE-2016-8429 | A-32160775* N-CVE-2016-8429 | সমালোচনামূলক | নেক্সাস 9 | 13 অক্টোবর, 2016 |
CVE-2016-8430 | A-32225180* N-CVE-2016-8430 | সমালোচনামূলক | নেক্সাস 9 | অক্টোবর 17, 2016 |
CVE-2016-8431 | A-32402179* N-CVE-2016-8431 | সমালোচনামূলক | পিক্সেল সি | 25 অক্টোবর, 2016 |
CVE-2016-8432 | A-32447738* N-CVE-2016-8432 | সমালোচনামূলক | পিক্সেল সি | 26 অক্টোবর, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
মিডিয়াটেক ড্রাইভারে বিশেষাধিকারের দুর্বলতা বৃদ্ধি
মিডিয়াটেক ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8433 | A-31750190* MT-ALPS02974192 | সমালোচনামূলক | কোনটিই** | সেপ্টেম্বর 24, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
** সমর্থিত Google ডিভাইসগুলি Android 7.0 বা তার পরে যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে তারা এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷
কোয়ালকম জিপিইউ ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
Qualcomm GPU ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8434 | এ-32125137 QC-CR#1081855 | সমালোচনামূলক | Nexus 5X, Nexus 6, Nexus 6P, Android One | অক্টোবর 12, 2016 |
NVIDIA GPU ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
NVIDIA GPU ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8435 | A-32700935* N-CVE-2016-8435 | সমালোচনামূলক | পিক্সেল সি | নভেম্বর 7, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
Qualcomm ভিডিও ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
Qualcomm ভিডিও ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8436 | A-32450261 QC-CR#1007860 | সমালোচনামূলক | কোনটিই না* | 13 অক্টোবর, 2016 |
* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷
কোয়ালকম উপাদানে দুর্বলতা
নিম্নলিখিত দুর্বলতাগুলি Qualcomm উপাদানগুলিকে প্রভাবিত করে এবং Qualcomm AMSS নভেম্বর 2015, আগস্ট 2016, সেপ্টেম্বর 2016 এবং অক্টোবর 2016 নিরাপত্তা বুলেটিনে আরও বিশদে বর্ণনা করা হয়েছে।
সিভিই | তথ্যসূত্র | নির্দয়তা* | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8438 | A-31624565** | সমালোচনামূলক | কোনটিই না *** | কোয়ালকম অভ্যন্তরীণ |
CVE-2016-8442 | A-31625910** | সমালোচনামূলক | কোনটিই না *** | কোয়ালকম অভ্যন্তরীণ |
CVE-2016-8443 | A-32576499** | সমালোচনামূলক | কোনটিই না *** | কোয়ালকম অভ্যন্তরীণ |
CVE-2016-8437 | A-31623057** | উচ্চ | কোনটিই না *** | কোয়ালকম অভ্যন্তরীণ |
CVE-2016-8439 | A-31625204** | উচ্চ | কোনটিই না *** | কোয়ালকম অভ্যন্তরীণ |
CVE-2016-8440 | A-31625306** | উচ্চ | কোনটিই না *** | কোয়ালকম অভ্যন্তরীণ |
CVE-2016-8441 | A-31625904** | উচ্চ | কোনটিই না *** | কোয়ালকম অভ্যন্তরীণ |
CVE-2016-8398 | A-31548486** | উচ্চ | Nexus 5X, Nexus 6, Nexus 6P, Android One | কোয়ালকম অভ্যন্তরীণ |
CVE-2016-8459 | A-32577972** | উচ্চ | কোনটিই না *** | কোয়ালকম অভ্যন্তরীণ |
CVE-2016-5080 | A-31115235** | পরিমিত | Nexus 5X | কোয়ালকম অভ্যন্তরীণ |
* এই দুর্বলতার জন্য তীব্রতা রেটিং বিক্রেতা দ্বারা নির্ধারিত হয়েছিল।
** এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
*** অ্যান্ড্রয়েড 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷
Qualcomm ক্যামেরায় বিশেষাধিকার দুর্বলতার উচ্চতা
Qualcomm ক্যামেরায় বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8412 | এ-31225246 QC-CR#1071891 | উচ্চ | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 26 অগাস্ট, 2016 |
CVE-2016-8444 | A-31243641* QC-CR#1074310 | উচ্চ | Nexus 5X, Nexus 6, Nexus 6P | 26 অগাস্ট, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
মিডিয়াটেক উপাদানগুলিতে বিশেষাধিকারের দুর্বলতা বৃদ্ধি
থার্মাল ড্রাইভার এবং ভিডিও ড্রাইভার সহ MediaTek উপাদানগুলিতে বিশেষাধিকার দুর্বলতার একটি উচ্চতা, একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8445 | A-31747590* MT-ALPS02968983 | উচ্চ | কোনটিই** | 25 সেপ্টেম্বর, 2016 |
CVE-2016-8446 | A-31747749* MT-ALPS02968909 | উচ্চ | কোনটিই** | 25 সেপ্টেম্বর, 2016 |
CVE-2016-8447 | A-31749463* MT-ALPS02968886 | উচ্চ | কোনটিই** | 25 সেপ্টেম্বর, 2016 |
CVE-2016-8448 | A-31791148* MT-ALPS02982181 | উচ্চ | কোনটিই** | সেপ্টেম্বর 28, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
** সমর্থিত Google ডিভাইসগুলি Android 7.0 বা তার পরে যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে তারা এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷
Qualcomm Wi-Fi ড্রাইভারে বিশেষাধিকারের দুর্বলতার উচ্চতা
কোয়ালকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8415 | এ-31750554 QC-CR#1079596 | উচ্চ | Nexus 5X, Pixel, Pixel XL | সেপ্টেম্বর 26, 2016 |
NVIDIA GPU ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
NVIDIA GPU ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8449 | A-31798848* N-CVE-2016-8449 | উচ্চ | নেক্সাস 9 | সেপ্টেম্বর 28, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
Qualcomm সাউন্ড ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
Qualcomm সাউন্ড ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8450 | A-32450563 QC-CR#880388 | উচ্চ | Nexus 5X, Nexus 6, Nexus 6P, Android One | 13 অক্টোবর, 2016 |
Synaptics টাচস্ক্রিন ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
Synaptics টাচস্ক্রিন ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8451 | A-32178033* | উচ্চ | কোনটিই** | 13 অক্টোবর, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
** সমর্থিত Google ডিভাইসগুলি Android 7.0 বা তার পরে যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে তারা এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷
কার্নেল নিরাপত্তা সাবসিস্টেমে বিশেষাধিকার দুর্বলতা বৃদ্ধি
কার্নেল সিকিউরিটি সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-7042 | এ-32178986 আপস্ট্রিম কার্নেল | উচ্চ | পিক্সেল সি | অক্টোবর 14, 2016 |
কার্নেল কর্মক্ষমতা সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল পারফরম্যান্স সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2017-0403 | A-32402548* | উচ্চ | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 25 অক্টোবর, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কার্নেল সাউন্ড সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল সাউন্ড সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2017-0404 | A-32510733* | উচ্চ | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | 27 অক্টোবর, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
Qualcomm Wi-Fi ড্রাইভারে বিশেষাধিকারের দুর্বলতার উচ্চতা
কোয়ালকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8452 | এ-32506396 QC-CR#1050323 | উচ্চ | Nexus 5X, Android One, Pixel, Pixel XL | 28 অক্টোবর, 2016 |
Qualcomm রেডিও ড্রাইভারে বিশেষাধিকারের দুর্বলতা বৃদ্ধি
Qualcomm রেডিও ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-5345 | A-32639452 QC-CR#1079713 | উচ্চ | অ্যান্ড্রয়েড ওয়ান | নভেম্বর 3, 2016 |
কার্নেল প্রোফাইলিং সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল প্রোফাইলিং সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-9754 | A-32659848 আপস্ট্রিম কার্নেল | উচ্চ | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player | নভেম্বর 4, 2016 |
ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8453 | A-24739315* B-RB#73392 | উচ্চ | নেক্সাস 6 | গুগল অভ্যন্তরীণ |
CVE-2016-8454 | A-32174590* B-RB#107142 | উচ্চ | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | অক্টোবর 14, 2016 |
CVE-2016-8455 | A-32219121* B-RB#106311 | উচ্চ | Nexus 6P | 15 অক্টোবর, 2016 |
CVE-2016-8456 | A-32219255* B-RB#105580 | উচ্চ | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 15 অক্টোবর, 2016 |
CVE-2016-8457 | A-32219453* B-RB#106116 | উচ্চ | Nexus 6, Nexus 6P, Nexus 9, Pixel C | 15 অক্টোবর, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
Synaptics টাচস্ক্রিন ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
Synaptics টাচস্ক্রিন ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8458 | A-31968442* | উচ্চ | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | গুগল অভ্যন্তরীণ |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
NVIDIA ভিডিও ড্রাইভারে তথ্য প্রকাশের দুর্বলতা
NVIDIA ভিডিও ড্রাইভারে তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অনুমতির মাত্রার বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি ব্যবহারকারীর স্পষ্ট অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8460 | A-31668540* N-CVE-2016-8460 | উচ্চ | নেক্সাস 9 | 21শে সেপ্টেম্বর, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
বুটলোডারে তথ্য প্রকাশের দুর্বলতা
বুটলোডারে একটি তথ্য প্রকাশের দুর্বলতা স্থানীয় আক্রমণকারীকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটি উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।
সিভিই | তথ্যসূত্র | নির্দয়তা | আপডেট করা Google ডিভাইস | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-8461 | A-32369621* | উচ্চ | Nexus 9, Pixel, Pixel XL | 21 অক্টোবর, 2016 |
CVE-2016-8462 | A-32510383* | উচ্চ | পিক্সেল, পিক্সেল এক্সএল | অক্টোবর 27, 2016 |
* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
Qualcomm FUSE ফাইল সিস্টেমে পরিষেবার দুর্বলতা অস্বীকার করা
A denial of service vulnerability in the Qualcomm FUSE file system could enable a remote attacker to use a specially crafted file to cause a device hang or reboot. This issue is rated as High due to the possibility of remote denial of service.
সিভিই | তথ্যসূত্র | নির্দয়তা | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2016-8463 | A-30786860 QC-CR#586855 | উচ্চ | None* | Jan 03, 2014 |
* Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Denial of service vulnerability in bootloader
A denial of service vulnerability in the bootloader could enable an attacker to cause a local permanent denial of service, which may require reflashing the operating system to repair the device. This issue is rated as High due to the possibility of local permanent denial of service.
সিভিই | তথ্যসূত্র | নির্দয়তা | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2016-8467 | A-30308784* | উচ্চ | Nexus 6, Nexus 6P | Jun 29, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in Broadcom Wi-Fi driver
An elevation of privilege vulnerability in the Broadcom Wi-Fi driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.
সিভিই | তথ্যসূত্র | নির্দয়তা | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2016-8464 | A-29000183* B-RB#106314 | পরিমিত | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | May 26, 2016 |
CVE-2016-8466 | A-31822524* B-RB#105268 | পরিমিত | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | Sep 28, 2016 |
CVE-2016-8465 | A-32474971* B-RB#106053 | পরিমিত | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | Oct 27, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in Binder
An elevation of privilege vulnerability in Binder could enable a local malicious application to execute arbitrary code within the context of a privileged process. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.
সিভিই | তথ্যসূত্র | নির্দয়তা | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2016-8468 | A-32394425* | পরিমিত | Pixel C, Pixel, Pixel XL | Google internal |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in NVIDIA camera driver
An information disclosure vulnerability in the camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
সিভিই | তথ্যসূত্র | নির্দয়তা | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2016-8469 | A-31351206* N-CVE-2016-8469 | পরিমিত | Nexus 9 | Sep 7, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in MediaTek driver
An information disclosure vulnerability in the MediaTek driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
সিভিই | তথ্যসূত্র | নির্দয়তা | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2016-8470 | A-31528889* MT-ALPS02961395 | পরিমিত | None** | Sep 15, 2016 |
CVE-2016-8471 | A-31528890* MT-ALPS02961380 | পরিমিত | None** | Sep 15, 2016 |
CVE-2016-8472 | A-31531758* MT-ALPS02961384 | পরিমিত | None** | Sep 15, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Information disclosure vulnerability in STMicroelectronics driver
An information disclosure vulnerability in the STMicroelectronics driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
সিভিই | তথ্যসূত্র | নির্দয়তা | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2016-8473 | A-31795790* | পরিমিত | Nexus 5X, Nexus 6P | Sep 28, 2016 |
CVE-2016-8474 | A-31799972* | পরিমিত | Nexus 5X, Nexus 6P | Sep 28, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in Qualcomm audio post processor
An information disclosure vulnerability in the Qualcomm audio post processor could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it could be used to access sensitive data without permission.
সিভিই | তথ্যসূত্র | নির্দয়তা | Updated Google devices | AOSP সংস্করণ আপডেট করা হয়েছে | Date reported |
---|---|---|---|---|---|
CVE-2017-0399 | A-32588756 [ 2 ] | পরিমিত | All | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Oct 18, 2016 |
CVE-2017-0400 | A-32438598 [ 2 ] | পরিমিত | All | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Oct 25, 2016 |
CVE-2017-0401 | A-32588016 | পরিমিত | All | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Oct 26, 2016 |
CVE-2017-0402 | A-32588352 [ 2 ] | পরিমিত | All | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Oct 25, 2016 |
Information disclosure vulnerability in HTC input driver
An information disclosure vulnerability in the HTC input driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
সিভিই | তথ্যসূত্র | নির্দয়তা | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2016-8475 | A-32591129* | পরিমিত | পিক্সেল, পিক্সেল এক্সএল | Oct 30, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Denial of service vulnerability in kernel file system
A denial of service vulnerability in the kernel file system could enable a local malicious application to cause a device hang or reboot. This issue is rated as Moderate because it is a temporary denial of service that requires a factory reset to fix.
সিভিই | তথ্যসূত্র | নির্দয়তা | Updated Google devices | Date reported |
---|---|---|---|---|
CVE-2014-9420 | A-32477499 আপস্ট্রিম কার্নেল | পরিমিত | Pixel C | Dec 25, 2014 |
Common Questions and Answers
এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।
1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?
কিভাবে একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর চেক করতে হয় তা জানতে, Pixel এবং Nexus আপডেট শিডিউলের নির্দেশাবলী পড়ুন।
- Security patch levels of 2017-01-01 or later address all issues associated with the 2017-01-01 security patch level.
- Security patch levels of 2017-01-05 or later address all issues associated with the 2017-01-05 security patch level and all previous patch levels.
এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:
- [ro.build.version.security_patch]:[2017-01-01]
- [ro.build.version.security_patch]:[2017-01-05]
2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?
এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷
- Devices that use the January 1, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
- Devices that use the security patch level of January 5, 2017 or newer must include all applicable patches in this (and previous) security bulletins.
অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷
3. How do I determine which Google devices are affected by each issue?
In the 2017-01-01 and 2017-01-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:
- All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
- Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
- No Google devices : If no Google devices running the latest available version of Android are affected by the issue, the table will have "None" in the Updated Google devices column.
4. What do the entries in the references column map to?
দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে। These prefixes map as follows:
উপসর্গ | রেফারেন্স |
---|---|
ক- | অ্যান্ড্রয়েড বাগ আইডি |
QC- | কোয়ালকম রেফারেন্স নম্বর |
এম- | মিডিয়াটেক রেফারেন্স নম্বর |
এন- | NVIDIA রেফারেন্স নম্বর |
খ- | ব্রডকম রেফারেন্স নম্বর |
Revisions
- January 03, 2017: Bulletin published.
- January 04, 2017: Bulletin revised to include AOSP links.
- January 05, 2017: Clarified AOSP version number from 7.1 to 7.1.1.
- January 12, 2017: Removed duplicate entry for CVE-2016-8467.
- January 24, 2017: Updated description and severity for CVE-2017-0381.
- February 2, 2017: Updated CVE-2017-0389 with additional patch link.