প্রকাশিত জুলাই 5, 2017 | 26 সেপ্টেম্বর, 2017 আপডেট করা হয়েছে
অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ 05 জুলাই, 2017 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে৷ একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে চেক করতে হয় তা জানতে Pixel এবং Nexus আপডেটের সময়সূচী পড়ুন।
অন্তত এক মাস আগে বুলেটিনে বর্ণিত সমস্যা সম্পর্কে অংশীদারদের অবহিত করা হয়েছিল। এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷
এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল মিডিয়া ফ্রেমওয়ার্কের একটি গুরুতর নিরাপত্তা দুর্বলতা যা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। প্ল্যাটফর্ম এবং পরিষেবা প্রশমনগুলি উন্নয়নের উদ্দেশ্যে বন্ধ করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।
আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণ বা অপব্যবহারের কোনও রিপোর্ট নেই। Android সিকিউরিটি প্ল্যাটফর্ম সুরক্ষা এবং Google Play Protect সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google Play Protect প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে।
আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷
দ্রষ্টব্য: সর্বশেষ ওভার-দ্য-এয়ার আপডেট (OTA) এবং Google ডিভাইসগুলির জন্য ফার্মওয়্যার চিত্রগুলির তথ্য Google ডিভাইস আপডেট বিভাগে উপলব্ধ।
ঘোষণা
- এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তরের স্ট্রিং রয়েছে যা Android অংশীদারদের আরও দ্রুত দুর্বলতার একটি উপসেট ঠিক করার জন্য নমনীয়তা প্রদান করে যা সমস্ত Android ডিভাইসে একই রকম। অতিরিক্ত তথ্যের জন্য সাধারণ প্রশ্ন এবং উত্তর দেখুন:
- 2017-07-01 : আংশিক নিরাপত্তা প্যাচ স্তরের স্ট্রিং। এই নিরাপত্তা প্যাচ স্তরের স্ট্রিংটি নির্দেশ করে যে 2017-07-01 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷
- 2017-07-05 : সম্পূর্ণ নিরাপত্তা প্যাচ স্তরের স্ট্রিং। এই নিরাপত্তা প্যাচ স্তরের স্ট্রিংটি নির্দেশ করে যে 2017-07-01 এবং 2017-07-05 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷
অ্যান্ড্রয়েড এবং গুগল প্লে সুরক্ষা প্রশমন
এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং পরিষেবা সুরক্ষা যেমন Google Play Protect দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
- Android নিরাপত্তা দল সক্রিয়ভাবে Google Play Protect- এর মাধ্যমে অপব্যবহারের জন্য নজরদারি করে এবং ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে। Google Play Protect ডিফল্টরূপে Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে সক্রিয় থাকে এবং বিশেষত সেই সমস্ত ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপগুলি ইনস্টল করেন৷
2017-07-01 নিরাপত্তা প্যাচ লেভেল—ভালনারেবিলিটি বিশদ
নীচের বিভাগে, আমরা 2017-07-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাটির বর্ণনা এবং CVE, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) সহ একটি টেবিল রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।
রানটাইম
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে দূরবর্তী আক্রমণকারীকে একটি সুবিধাহীন প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | AOSP সংস্করণ আপডেট করা হয়েছে |
|---|---|---|---|---|
| CVE-2017-3544 | এ-35784677 | আরসিই | পরিমিত | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
ফ্রেমওয়ার্ক
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা লাইব্রেরি ব্যবহার করে এমন একটি অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি স্থানীয় দূষিত অ্যাপ্লিকেশন সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | AOSP সংস্করণ আপডেট করা হয়েছে |
|---|---|---|---|---|
| CVE-2017-0664 | এ-36491278 | ইওপি | উচ্চ | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0665 | A-36991414 | ইওপি | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0666 | এ-37285689 | ইওপি | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0667 | এ-37478824 | ইওপি | উচ্চ | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0668 | A-22011579 | আইডি | পরিমিত | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0669 | এ-34114752 | আইডি | উচ্চ | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0670 | এ-36104177 | DoS | উচ্চ | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
লাইব্রেরি
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা লাইব্রেরি ব্যবহার করে এমন একটি অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে দূরবর্তী আক্রমণকারীকে সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | AOSP সংস্করণ আপডেট করা হয়েছে |
|---|---|---|---|---|
| CVE-2017-0671 | A-34514762 * | আরসিই | উচ্চ | 4.4.4 |
| CVE-2016-2109 | এ-35443725 | DoS | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0672 | এ-34778578 | DoS | উচ্চ | 7.0, 7.1.1, 7.1.2 |
মিডিয়া ফ্রেমওয়ার্ক
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | AOSP সংস্করণ আপডেট করা হয়েছে |
|---|---|---|---|---|
| CVE-2017-0540 | এ-33966031 | আরসিই | সমালোচনামূলক | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0673 | এ-33974623 | আরসিই | সমালোচনামূলক | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0674 | এ-34231163 | আরসিই | সমালোচনামূলক | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0675 | A-34779227 [ 2 ] | আরসিই | সমালোচনামূলক | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0676 | এ-34896431 | আরসিই | সমালোচনামূলক | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0677 | এ-36035074 | আরসিই | সমালোচনামূলক | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0678 | এ-36576151 | আরসিই | সমালোচনামূলক | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0679 | A-36996978 | আরসিই | সমালোচনামূলক | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0680 | এ-37008096 | আরসিই | সমালোচনামূলক | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0681 | এ-37208566 | আরসিই | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0682 | A-36588422 * | আরসিই | উচ্চ | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0683 | A-36591008 * | আরসিই | উচ্চ | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0684 | এ-35421151 | ইওপি | উচ্চ | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0685 | এ-34203195 | DoS | উচ্চ | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0686 | এ-34231231 | DoS | উচ্চ | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0688 | এ-35584425 | DoS | উচ্চ | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0689 | এ-36215950 | DoS | উচ্চ | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0690 | এ-36592202 | DoS | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0691 | এ-36724453 | DoS | উচ্চ | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0692 | এ-36725407 | DoS | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0693 | এ-36993291 | DoS | উচ্চ | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0694 | এ-37093318 | DoS | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0695 | এ-37094889 | DoS | উচ্চ | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0696 | এ-37207120 | DoS | উচ্চ | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0697 | এ-37239013 | DoS | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0698 | এ-35467458 | আইডি | পরিমিত | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0699 | এ-36490809 | আইডি | পরিমিত | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
সিস্টেম UI
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | AOSP সংস্করণ আপডেট করা হয়েছে |
|---|---|---|---|---|
| CVE-2017-0700 | এ-35639138 | আরসিই | উচ্চ | 7.1.1, 7.1.2 |
| CVE-2017-0701 | A-36385715 [ 2 ] | আরসিই | উচ্চ | 7.1.1, 7.1.2 |
| CVE-2017-0702 | এ-36621442 | আরসিই | উচ্চ | 7.1.1, 7.1.2 |
| CVE-2017-0703 | এ-33123882 | ইওপি | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0704 | এ-33059280 | ইওপি | পরিমিত | 7.1.1, 7.1.2 |
2017-07-05 নিরাপত্তা প্যাচ স্তর — দুর্বলতার বিবরণ
নীচের বিভাগে, আমরা 2017-07-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি সেই উপাদানগুলির অধীনে গোষ্ঠীভুক্ত করা হয় যা তারা প্রভাবিত করে এবং বিশদগুলি অন্তর্ভুক্ত করে যেমন CVE, সম্পর্কিত রেফারেন্স, দুর্বলতার ধরন , তীব্রতা , উপাদান (যেখানে প্রযোজ্য), এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য)। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।
ব্রডকম উপাদান
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি প্রক্সিমেট আক্রমণকারীকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2017-9417 | A-38041027 * B-RB#123023 | আরসিই | সমালোচনামূলক | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-0705 | A-34973477 * B-RB#119898 | ইওপি | পরিমিত | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-0706 | A-35195787 * B-RB#120532 | ইওপি | পরিমিত | ওয়াই-ফাই ড্রাইভার |
এইচটিসি উপাদান
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2017-0707 | A-36088467 * | ইওপি | পরিমিত | অগ্রদত চালক |
| CVE-2017-0708 | A-35384879 * | আইডি | পরিমিত | সাউন্ড ড্রাইভার |
| CVE-2017-0709 | A-35468048 * | আইডি | কম | সেন্সর হাব ড্রাইভার |
কার্নেল উপাদান
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2017-6074 | এ-35784697 আপস্ট্রিম কার্নেল | ইওপি | উচ্চ | নেটওয়ার্কিং সাবসিস্টেম |
| CVE-2017-5970 | এ-35805460 আপস্ট্রিম কার্নেল | DoS | উচ্চ | নেটওয়ার্কিং সাবসিস্টেম |
| CVE-2015-5707 | এ-35841297 আপস্ট্রিম কার্নেল [ 2 ] | ইওপি | পরিমিত | SCSI ড্রাইভার |
| CVE-2017-7308 | এ-36725304 আপস্ট্রিম কার্নেল [ 2 ] [ 3 ] | ইওপি | পরিমিত | নেটওয়ার্কিং ড্রাইভার |
| CVE-2014-9731 | এ-35841292 আপস্ট্রিম কার্নেল | আইডি | পরিমিত | নথি ব্যবস্থা |
মিডিয়াটেক উপাদান
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2017-0711 | A-36099953 * M-ALPS03206781 | ইওপি | উচ্চ | নেটওয়ার্কিং ড্রাইভার |
NVIDIA উপাদান
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2017-0340 | A-33968204 * N-CVE-2017-0340 | ইওপি | উচ্চ | Libnvparser |
| CVE-2017-0326 | A-33718700 * N-CVE-2017-0326 | আইডি | পরিমিত | ভিডিও ড্রাইভার |
কোয়ালকম উপাদান
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2017-8255 | এ-36251983 QC-CR#985205 | ইওপি | উচ্চ | বুটলোডার |
| CVE-2016-10389 | A-34500449 QC-CR#1009145 | ইওপি | উচ্চ | বুটলোডার |
| CVE-2017-8253 | A-35400552 QC-CR#1086764 | ইওপি | উচ্চ | ক্যামেরা ড্রাইভার |
| CVE-2017-8262 | A-32938443 QC-CR#2029113 | ইওপি | উচ্চ | GPU ড্রাইভার |
| CVE-2017-8263 | A-34126808 * QC-CR#1107034 | ইওপি | উচ্চ | বেনামী শেয়ার করা মেমরি সাবসিস্টেম |
| CVE-2017-8267 | A-34173755 * QC-CR#2001129 | ইওপি | উচ্চ | বেনামী শেয়ার করা মেমরি সাবসিস্টেম |
| CVE-2017-8273 | A-35400056 QC-CR#1094372 [ 2 ] | ইওপি | উচ্চ | বুটলোডার |
| CVE-2016-5863 | এ-36251182 QC-CR#1102936 | ইওপি | পরিমিত | USB HID ড্রাইভার |
| CVE-2017-8243 | A-34112490 * QC-CR#2001803 | ইওপি | পরিমিত | SoC ড্রাইভার |
| CVE-2017-8246 | এ-37275839 QC-CR#2008031 | ইওপি | পরিমিত | সাউন্ড ড্রাইভার |
| CVE-2017-8256 | এ-37286701 QC-CR#1104565 | ইওপি | পরিমিত | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-8257 | এ-37282763 QC-CR#2003129 | ইওপি | পরিমিত | ভিডিও ড্রাইভার |
| CVE-2017-8259 | A-34359487 QC-CR#2009016 | ইওপি | পরিমিত | SoC ড্রাইভার |
| CVE-2017-8260 | এ-34624155 QC-CR#2008469 | ইওপি | পরিমিত | ক্যামেরা ড্রাইভার |
| CVE-2017-8261 | A-35139833 * QC-CR#2013631 | ইওপি | পরিমিত | ক্যামেরা ড্রাইভার |
| CVE-2017-8264 | A-33299365 * QC-CR#1107702 | ইওপি | পরিমিত | ক্যামেরা ড্রাইভার |
| CVE-2017-8265 | এ-32341313 QC-CR#1109755 | ইওপি | পরিমিত | ভিডিও ড্রাইভার |
| CVE-2017-8266 | এ-33863407 QC-CR#1110924 | ইওপি | পরিমিত | ভিডিও ড্রাইভার |
| CVE-2017-8268 | A-34620535 * QC-CR#2002207 | ইওপি | পরিমিত | ক্যামেরা ড্রাইভার |
| CVE-2017-8270 | A-35468665 * QC-CR#2021363 | ইওপি | পরিমিত | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-8271 | A-35950388 * QC-CR#2028681 | ইওপি | পরিমিত | ভিডিও ড্রাইভার |
| CVE-2017-8272 | A-35950805 * QC-CR#2028702 | ইওপি | পরিমিত | ভিডিও ড্রাইভার |
| CVE-2017-8254 | এ-36252027 QC-CR#832914 | আইডি | পরিমিত | সাউন্ড ড্রাইভার |
| CVE-2017-8258 | এ-37279737 QC-CR#2005647 | আইডি | পরিমিত | ক্যামেরা ড্রাইভার |
| CVE-2017-8269 | A-33967002 * QC-CR#2013145 | আইডি | পরিমিত | আইপিএ ড্রাইভার |
কোয়ালকম ক্লোজড সোর্স উপাদান
এই দুর্বলতাগুলি Qualcomm উপাদানগুলিকে প্রভাবিত করে এবং 2014-2016 সালে Qualcomm AMSS নিরাপত্তা বুলেটিনে আরও বিশদে বর্ণনা করা হয়েছে। একটি Android নিরাপত্তা প্যাচ স্তরের সাথে তাদের সংশোধনগুলি সংযুক্ত করার জন্য তারা এই Android নিরাপত্তা বুলেটিনে অন্তর্ভুক্ত করা হয়েছে৷ এই দুর্বলতার জন্য সমাধান সরাসরি Qualcomm থেকে উপলব্ধ।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2014-9411 | A-37473054 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2014-9968 | A-37304413 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2014-9973 | A-37470982 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2014-9974 | A-37471979 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2014-9975 | A-37471230 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2014-9977 | A-37471087 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2014-9978 | A-37468982 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2014-9979 | A-37471088 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2014-9980 | A-37471029 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-0575 | A-37296999 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-8592 | A-37470090 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-8595 | A-37472411 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-8596 | A-37472806 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9034 | A-37305706 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9035 | A-37303626 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9036 | A-37303519 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9037 | A-37304366 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9038 | A-37303027 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9039 | A-37302628 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9040 | A-37303625 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9041 | A-37303518 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9042 | A-37301248 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9043 | A-37305954 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9044 | A-37303520 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9045 | A-37302136 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9046 | A-37301486 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9047 | A-37304367 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9048 | A-37305707 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9049 | A-37301488 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9050 | A-37302137 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9051 | A-37300737 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9052 | A-37304217 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9053 | A-37301249 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9054 | A-37303177 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9055 | A-37472412 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9060 | A-37472807 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9061 | A-37470436 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9062 | A-37472808 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9067 | A-37474000 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9068 | A-37470144 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9069 | A-37470777 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9070 | A-37474001 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9071 | A-37471819 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9072 | A-37474002 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2015-9073 | A-37473407 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2016-10343 | A-32580186 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2016-10344 | A-32583954 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2016-10346 | A-37473408 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2016-10347 | A-37471089 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2016-10382 | A-28823584 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2016-10383 | A-28822389 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2016-10388 | A-32580294 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2016-10391 | A-32583804 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2016-5871 | A-37473055 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2016-5872 | A-37472809 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
গুগল ডিভাইস আপডেট
এই টেবিলে লেটেস্ট ওভার-দ্য-এয়ার আপডেট (OTA) এবং Google ডিভাইসের জন্য ফার্মওয়্যার ইমেজের নিরাপত্তা প্যাচ লেভেল রয়েছে। Google ডিভাইসের ফার্মওয়্যারের ছবিগুলি Google ডেভেলপার সাইটে পাওয়া যায়।
| গুগল ডিভাইস | নিরাপত্তা প্যাচ স্তর |
|---|---|
| পিক্সেল/পিক্সেল এক্সএল | জুলাই 05, 2017 |
| Nexus 5X | জুলাই 05, 2017 |
| নেক্সাস 6 | জুলাই 05, 2017 |
| Nexus 6P | জুলাই 05, 2017 |
| নেক্সাস 9 | জুলাই 05, 2017 |
| নেক্সাস প্লেয়ার | জুলাই 05, 2017 |
| পিক্সেল সি | জুলাই 05, 2017 |
Google ডিভাইস আপডেটগুলিতে এই নিরাপত্তা দুর্বলতার জন্য প্যাচও রয়েছে, যদি প্রযোজ্য হয়:
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2017-0710 | A-34951864 * | ইওপি | পরিমিত | টিসিবি |
স্বীকৃতি
আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:
| সিভিই | গবেষকরা |
|---|---|
| CVE-2017-8263 | গুগলের বিলি লাউ |
| CVE-2017-0711 | আলিবাবা মোবাইল সিকিউরিটি গ্রুপের চেংমিং ইয়াং, বাওজেং ডিং এবং ইয়াং গান |
| CVE-2017-0681 | চি ঝাং , হ্যানজিয়াং ওয়েন , মিংজিয়ান ঝো ( @মিংজিয়ান_ঝৌ ), এবং C0RE টিমের জুক্সিয়ান জিয়াং |
| CVE-2017-0706 | Xuanwu Lab, Tencent-এর Daxing Guo ( @freener0 ) |
| CVE-2017-8260 | ডেরেক ( @derrekr6 ) এবং স্কট বাউয়ার |
| CVE-2017-8265 | ডি শেন ( @returnsme ) KeenLab ( @keen_lab ), টেনসেন্ট |
| CVE-2017-0703 | Dzmitry Lukyanenka |
| CVE-2017-0692, CVE-2017-0694 | আলফা টিমের এলফেট এবং গং গুয়াং, কিহু 360 প্রযুক্তি কোং লিমিটেড। |
| CVE-2017-8266, CVE-2017-8243, CVE-2017-8270 | Gengjia Chen ( @chengjia4574 ) এবং IceSword Lab এর pjf , Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0665 | চি ঝাং , হ্যানজিয়াং ওয়েন , মিংজিয়ান ঝো ( @মিংজিয়ান_ঝৌ ), এবং C0RE টিমের জুক্সিয়ান জিয়াং |
| CVE-2017-8268, CVE-2017-8261 | Jianqiang Zhao ( @jianqiangzhao ) এবং IceSword Lab, Qihoo 360 এর pjf |
| CVE-2017-0698 | সেন্সাস কনসাল্টিং ইনকর্পোরেটেডের জোয়ি ব্র্যান্ড। |
| CVE-2017-0666, CVE-2017-0684 | C0RE টিমের মিংজিয়ান ঝু ( @Mingjian_Zhou ), চি ঝাং এবং Xuxian জিয়াং |
| CVE-2017-0697, CVE-2017-0670 | Niky1235 ( @jiych_guru ) |
| CVE-2017-9417 | এক্সোডাস ইন্টেলিজেন্সের নিতয় আর্টেনস্টাইন |
| CVE-2017-0705, CVE-2017-8259 | স্কট বাউয়ার |
| CVE-2017-0667 | CSS Inc এর টিমোথি বেকার। |
| CVE-2017-0682, CVE-2017-0683, CVE-2017-0676, CVE-2017-0696, CVE-2017-0675, CVE-2017-0701, CVE-2017-07091, CVE-2017-0702, | ভ্যাসিলি ভ্যাসিলিভ |
| CVE-2017-0695, CVE-2017-0689, CVE-2017-0540, CVE-2017-0680, CVE-2017-0679, CVE-2017-0685, CVE-2017-06685, CVE-2017-06686, CVE-06362 2017-0674, CVE-2017-0677 | VEO ( @VYSEa ) মোবাইল থ্রেট রেসপন্স টিম , ট্রেন্ড মাইক্রো |
| CVE-2017-0708 | Tencent নিরাপত্তা প্ল্যাটফর্ম বিভাগের Xiling Gong |
| CVE-2017-0690 | Qihoo 360 Qex টিমের ইয়াংকাং ( @dnpushme ) এবং Liyadong |
| CVE-2017-8269, CVE-2017-8271, CVE-2017-8272, CVE-2017-8267 | IceSword Lab এর Yonggang Guo ( @guoygang ), Qihoo 360 Technology Co. Ltd. |
| CVE-2017-8264, CVE-2017-0326, CVE-2017-0709 | ইউয়ান-সুং লো ( computernik@gmail.com ) এবং C0RE টিমের Xuxian জিয়াং |
| CVE-2017-0704, CVE-2017-0669 | টেনসেন্ট সিকিউরিটি প্ল্যাটফর্ম বিভাগের ইউক্সিয়াং লি ( @Xbalien29 ) |
| CVE-2017-0710 | Android নিরাপত্তা দলের Zach Riggle ( @ebeip90 ) |
| CVE-2017-0678 | চেংডু সিকিউরিটি রেসপন্স সেন্টারের জিনু হান , কিহু 360 টেকনোলজি কোং লিমিটেড। |
| CVE-2017-0691, CVE-2017-0700 | চেংডু সিকিউরিটি রেসপন্স সেন্টারের জিনু হান , কিহু 360 টেকনোলজি কোং লিমিটেড এবং পাঙ্গু টিমের আও ওয়াং ( @আরাইজ সেগমেন্ট) |
সাধারণ প্রশ্ন এবং উত্তর
এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।
1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?
কিভাবে একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর চেক করতে হয় তা জানতে, Pixel এবং Nexus আপডেট শিডিউলের নির্দেশাবলী পড়ুন।
- 2017-07-01 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2017-07-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।
- 2017-07-05 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি 2017-07-05 নিরাপত্তা প্যাচ স্তর এবং সমস্ত পূর্ববর্তী প্যাচ স্তরগুলির সাথে সম্পর্কিত সমস্ত সমস্যাগুলি সমাধান করে৷
এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:
- [ro.build.version.security_patch]:[2017-07-01]
- [ro.build.version.security_patch]:[2017-07-05]
2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?
এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷
- যে ডিভাইসগুলি জুলাই 01, 2017 সুরক্ষা প্যাচ স্তর ব্যবহার করে সেগুলি অবশ্যই সেই সুরক্ষা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত করতে হবে৷
- যে ডিভাইসগুলি 05 জুলাই, 2017 বা নতুনের নিরাপত্তা প্যাচ স্তর ব্যবহার করে সেগুলিকে অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।
অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷
3. টাইপ কলামের এন্ট্রিগুলির অর্থ কী?
দুর্বলতার বিবরণ টেবিলের টাইপ কলামের এন্ট্রি নিরাপত্তা দুর্বলতার শ্রেণীবিভাগ উল্লেখ করে।
| সংক্ষিপ্ত রূপ | সংজ্ঞা |
|---|---|
| আরসিই | রিমোট কোড এক্সিকিউশন |
| ইওপি | বিশেষাধিকারের উচ্চতা |
| আইডি | তথ্য প্রকাশ |
| DoS | সেবা দিতে অস্বীকার করা |
| N/A | শ্রেণীবিভাগ উপলব্ধ নয় |
4. রেফারেন্স কলামের এন্ট্রিগুলির অর্থ কী?
দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে।
| উপসর্গ | রেফারেন্স |
|---|---|
| ক- | অ্যান্ড্রয়েড বাগ আইডি |
| QC- | কোয়ালকম রেফারেন্স নম্বর |
| এম- | মিডিয়াটেক রেফারেন্স নম্বর |
| এন- | NVIDIA রেফারেন্স নম্বর |
| খ- | ব্রডকম রেফারেন্স নম্বর |
5. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে * এর অর্থ কী?
যে সমস্যাগুলি সর্বজনীনভাবে উপলব্ধ নয় সেগুলির রেফারেন্স কলামে Android বাগ আইডির পাশে একটি * থাকে৷ এই সমস্যার জন্য আপডেটটি সাধারণত Google বিকাশকারী সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে থাকে৷
সংস্করণ
| সংস্করণ | তারিখ | মন্তব্য |
|---|---|---|
| 1.0 | 5 জুলাই, 2017 | বুলেটিন প্রকাশিত হয়েছে। |
| 1.1 | জুলাই 6, 2017 | AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে। |
| 1.2 | 11 জুলাই, 2017 | স্বীকৃতি আপডেট করার জন্য বুলেটিন সংশোধন করা হয়েছে। |
| 1.3 | 17 আগস্ট, 2017 | রেফারেন্স নম্বর আপডেট করতে বুলেটিন সংশোধন করা হয়েছে। |
| 1.4 | সেপ্টেম্বর 19, 2017 | CVE-2017-0710-এর জন্য আপডেট করা স্বীকৃতি। |
| 1.5 | সেপ্টেম্বর 26, 2017 | CVE-2017-0681-এর জন্য আপডেট করা স্বীকৃতি। |