প্রকাশিত সেপ্টেম্বর 5, 2017 | 5 অক্টোবর, 2017 আপডেট করা হয়েছে
অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ সেপ্টেম্বর 05, 2017 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে৷ একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে চেক করতে হয় তা জানতে Pixel এবং Nexus আপডেটের সময়সূচী পড়ুন।
অন্তত এক মাস আগে বুলেটিনে বর্ণিত সমস্যা সম্পর্কে অংশীদারদের অবহিত করা হয়েছিল। এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷
এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল মিডিয়া ফ্রেমওয়ার্কের একটি গুরুতর তীব্রতা দুর্বলতা যা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি প্রিভিলেজড প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি দূরবর্তী আক্রমণকারীকে সক্ষম করতে পারে। প্ল্যাটফর্ম এবং পরিষেবা প্রশমনগুলি উন্নয়নের উদ্দেশ্যে বন্ধ করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।
আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণ বা অপব্যবহারের কোনও রিপোর্ট নেই। Android সিকিউরিটি প্ল্যাটফর্ম সুরক্ষা এবং Google Play Protect সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google Play Protect প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে।
আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷
দ্রষ্টব্য: সর্বশেষ ওভার-দ্য-এয়ার আপডেট (OTA) এবং Google ডিভাইসগুলির জন্য ফার্মওয়্যার চিত্রগুলির তথ্য Google ডিভাইস আপডেট বিভাগে উপলব্ধ।
ঘোষণা
- এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তরের স্ট্রিং রয়েছে যা Android অংশীদারদের আরও দ্রুত দুর্বলতার একটি উপসেট ঠিক করার জন্য নমনীয়তা প্রদান করে যা সমস্ত Android ডিভাইসে একই রকম। অতিরিক্ত তথ্যের জন্য সাধারণ প্রশ্ন এবং উত্তর দেখুন:
- 2017-09-01 : আংশিক নিরাপত্তা প্যাচ স্তরের স্ট্রিং। এই নিরাপত্তা প্যাচ স্তরের স্ট্রিংটি নির্দেশ করে যে 2017-09-01 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷
- 2017-09-05 : সম্পূর্ণ নিরাপত্তা প্যাচ স্তরের স্ট্রিং। এই নিরাপত্তা প্যাচ স্তরের স্ট্রিংটি নির্দেশ করে যে 2017-09-01 এবং 2017-09-05 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷
অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন
এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং পরিষেবা সুরক্ষা যেমন Google Play Protect দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
- Android নিরাপত্তা দল সক্রিয়ভাবে Google Play Protect- এর মাধ্যমে অপব্যবহারের জন্য নজরদারি করে এবং ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে। Google Play Protect ডিফল্টরূপে Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে সক্রিয় থাকে এবং বিশেষত সেই ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপগুলি ইনস্টল করেন৷
2017-09-01 নিরাপত্তা প্যাচ লেভেল—ভালনারেবিলিটি বিশদ
নীচের বিভাগে, আমরা 2017-09-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাটির বর্ণনা এবং CVE, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) সহ একটি টেবিল রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।
ফ্রেমওয়ার্ক
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা অতিরিক্ত অনুমতিগুলিতে অ্যাক্সেস পাওয়ার জন্য ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তাগুলিকে বাইপাস করতে একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | AOSP সংস্করণ আপডেট করা হয়েছে |
|---|---|---|---|---|
| CVE-2017-0752 | A-62196835 [ 2 ] | ইওপি | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
লাইব্রেরি
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে দূরবর্তী আক্রমণকারীকে একটি সুবিধাহীন প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | AOSP সংস্করণ আপডেট করা হয়েছে |
|---|---|---|---|---|
| CVE-2017-0753 | এ-62218744 | আরসিই | উচ্চ | 7.1.1, 7.1.2, 8.0 |
| CVE-2017-6983 | এ-63852675 | আরসিই | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0755 | এ-32178311 | ইওপি | উচ্চ | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
মিডিয়া ফ্রেমওয়ার্ক
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | AOSP সংস্করণ আপডেট করা হয়েছে |
|---|---|---|---|---|
| CVE-2017-0756 | এ-34621073 | আরসিই | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0757 | A-36006815 | আরসিই | সমালোচনামূলক | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0758 | A-36492741 | আরসিই | সমালোচনামূলক | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0759 | এ-36715268 | আরসিই | সমালোচনামূলক | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0760 | এ-37237396 | আরসিই | সমালোচনামূলক | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0761 | এ-38448381 | আরসিই | সমালোচনামূলক | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0762 | এ-62214264 | আরসিই | সমালোচনামূলক | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0763 | এ-62534693 | আরসিই | সমালোচনামূলক | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0764 | এ-62872015 | আরসিই | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0765 | এ-62872863 | আরসিই | সমালোচনামূলক | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0766 | এ-37776688 | আরসিই | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0767 | A-37536407 [ 2 ] | ইওপি | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0768 | A-62019992 | ইওপি | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0769 | এ-37662122 | ইওপি | উচ্চ | 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0770 | এ-38234812 | ইওপি | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0771 | এ-37624243 | DoS | উচ্চ | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0772 | এ-38115076 | DoS | উচ্চ | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0773 | এ-37615911 | DoS | উচ্চ | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0774 | A-62673844 [ 2 ] | DoS | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0775 | এ-62673179 | DoS | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0776 | এ-38496660 | আইডি | পরিমিত | 7.0, 7.1.1, 7.1.2, 8.0 |
| DoS | উচ্চ | 6.0.1 | ||
| CVE-2017-0777 | এ-38342499 | আইডি | পরিমিত | 7.0, 7.1.1, 7.1.2 |
| DoS | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-0778 | এ-62133227 | আইডি | পরিমিত | 7.0, 7.1.1, 7.1.2 |
| DoS | উচ্চ | 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-0779 | A-38340117 [ 2 ] | আইডি | পরিমিত | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
রানটাইম
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি অ্যাপ্লিকেশন হ্যাং করার জন্য একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | AOSP সংস্করণ আপডেট করা হয়েছে |
|---|---|---|---|---|
| CVE-2017-0780 | এ-37742976 | DoS | উচ্চ | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
পদ্ধতি
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি প্রিভিলেজড প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি প্রক্সিমেট আক্রমণকারীকে সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | AOSP সংস্করণ আপডেট করা হয়েছে |
|---|---|---|---|---|
| CVE-2017-0781 | A-63146105 [ 2 ] | আরসিই | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0782 | A-63146237 [ 2 ] [ 3 ] | আরসিই | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0783 | এ-63145701 | আইডি | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0784 | এ-37287958 | ইওপি | পরিমিত | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0785 | এ-63146698 | আইডি | পরিমিত | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
2017-09-05 নিরাপত্তা প্যাচ লেভেল—ভালনারেবিলিটি বিশদ
নীচের বিভাগগুলিতে, আমরা 2017-09-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি সেই উপাদানগুলির অধীনে গোষ্ঠীভুক্ত করা হয় যা তারা প্রভাবিত করে এবং বিশদগুলি অন্তর্ভুক্ত করে যেমন CVE, সম্পর্কিত রেফারেন্স, দুর্বলতার ধরন , তীব্রতা , উপাদান (যেখানে প্রযোজ্য), এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য)। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।
ব্রডকম উপাদান
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি প্রক্সিমেট আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2017-11120 | A-62575409 * B-V2017061204 | আরসিই | সমালোচনামূলক | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-11121 | A-62576413 * B-V2017061205 | আরসিই | সমালোচনামূলক | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-7065 | A-62575138 * B-V2017061202 | আরসিই | সমালোচনামূলক | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-0786 | A-37351060 * B-V2017060101 | ইওপি | উচ্চ | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-0787 | A-37722970 * B-V2017053104 | ইওপি | পরিমিত | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-0788 | A-37722328 * B-V2017053103 | ইওপি | পরিমিত | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-0789 | A-37685267 * B-V2017053102 | ইওপি | পরিমিত | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-0790 | A-37357704 * B-V2017053101 | ইওপি | পরিমিত | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-0791 | A-37306719 * B-V2017052302 | ইওপি | পরিমিত | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-0792 | A-37305578 * B-V2017052301 | আইডি | পরিমিত | ওয়াই-ফাই ড্রাইভার |
Imgtk উপাদান
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2017-0793 | A-35764946 * | আইডি | উচ্চ | মেমরি সাবসিস্টেম |
কার্নেল উপাদান
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2017-8890 | এ-38413975 আপস্ট্রিম কার্নেল | আরসিই | সমালোচনামূলক | নেটওয়ার্কিং সাবসিস্টেম |
| CVE-2017-9076 | এ-62299478 আপস্ট্রিম কার্নেল | ইওপি | উচ্চ | নেটওয়ার্কিং সাবসিস্টেম |
| CVE-2017-9150 | এ-62199770 আপস্ট্রিম কার্নেল | আইডি | উচ্চ | লিনাক্স কার্নেল |
| CVE-2017-7487 | এ-62070688 আপস্ট্রিম কার্নেল | ইওপি | উচ্চ | IPX প্রোটোকল ড্রাইভার |
| CVE-2017-6214 | এ-37901268 আপস্ট্রিম কার্নেল | DoS | উচ্চ | নেটওয়ার্কিং সাবসিস্টেম |
| CVE-2017-6346 | এ-37897645 আপস্ট্রিম কার্নেল | ইওপি | উচ্চ | লিনাক্স কার্নেল |
| CVE-2017-5897 | এ-37871211 আপস্ট্রিম কার্নেল | আইডি | উচ্চ | নেটওয়ার্কিং সাবসিস্টেম |
| CVE-2017-7495 | এ-62198330 আপস্ট্রিম কার্নেল | আইডি | উচ্চ | নথি ব্যবস্থা |
| CVE-2017-7616 | এ-37751399 আপস্ট্রিম কার্নেল | আইডি | পরিমিত | লিনাক্স কার্নেল |
| CVE-2017-12146 | এ-35676417 আপস্ট্রিম কার্নেল | ইওপি | পরিমিত | লিনাক্স কার্নেল |
| CVE-2017-0794 | A-35644812 * | ইওপি | পরিমিত | SCSI ড্রাইভার |
মিডিয়াটেক উপাদান
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2017-0795 | A-36198473 * M-ALPS03361480 | ইওপি | উচ্চ | আনুষঙ্গিক আবিষ্কারক ড্রাইভার |
| CVE-2017-0796 | A-62458865 * M-ALPS03353884 M-ALPS03353886 M-ALPS03353887 | ইওপি | উচ্চ | AUXADC ড্রাইভার |
| CVE-2017-0797 | A-62459766 * M-ALPS03353854 | ইওপি | উচ্চ | আনুষঙ্গিক আবিষ্কারক ড্রাইভার |
| CVE-2017-0798 | A-36100671 * M-ALPS03365532 | ইওপি | উচ্চ | কার্নেল |
| CVE-2017-0799 | A-36731602 * M-ALPS03342072 | ইওপি | উচ্চ | লাস্টবাস |
| CVE-2017-0800 | A-37683975 * M-ALPS03302988 | ইওপি | উচ্চ | TEEI |
| CVE-2017-0801 | A-38447970 * M-ALPS03337980 | ইওপি | উচ্চ | LibMtkOmxVdec |
| CVE-2017-0802 | A-36232120 * M-ALPS03384818 | ইওপি | পরিমিত | কার্নেল |
| CVE-2017-0803 | A-36136137 * M-ALPS03361477 | ইওপি | পরিমিত | আনুষঙ্গিক আবিষ্কারক ড্রাইভার |
| CVE-2017-0804 | A-36274676 * M-ALPS03361487 | ইওপি | পরিমিত | এমএমসি ড্রাইভার |
কোয়ালকম উপাদান
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2017-11041 | A-36130225 * QC-CR#2053101 | আরসিই | সমালোচনামূলক | LibOmxVenc |
| CVE-2017-10996 | এ-38198574 QC-CR#901529 | আইডি | উচ্চ | লিনাক্স কার্নেল |
| CVE-2017-9725 | এ-38195738 QC-CR#896659 | ইওপি | উচ্চ | মেমরি সাবসিস্টেম |
| CVE-2017-9724 | এ-38196929 QC-CR#863303 | ইওপি | উচ্চ | লিনাক্স কার্নেল |
| CVE-2017-8278 | এ-62379474 QC-CR#2013236 | ইওপি | উচ্চ | অডিও ড্রাইভার |
| CVE-2017-10999 | A-36490777 * QC-CR#2010713 | ইওপি | পরিমিত | আইপিএ ড্রাইভার |
| CVE-2017-11001 | A-36815555 * QC-CR#2051433 | আইডি | পরিমিত | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-11002 | A-37712167 * QC-CR#2058452 QC-CR#2054690 QC-CR#2058455 | আইডি | পরিমিত | ওয়াই-ফাই ড্রাইভার |
| CVE-2017-8250 | এ-62379051 QC-CR#2003924 | ইওপি | পরিমিত | GPU ড্রাইভার |
| CVE-2017-9677 | এ-62379475 QC-CR#2022953 | ইওপি | পরিমিত | অডিও ড্রাইভার |
| CVE-2017-10998 | এ-38195131 QC-CR#108461 | ইওপি | পরিমিত | অডিও ড্রাইভার |
| CVE-2017-9676 | এ-62378596 QC-CR#2016517 | আইডি | পরিমিত | নথি ব্যবস্থা |
| CVE-2017-8280 | এ-62377236 QC-CR#2015858 | ইওপি | পরিমিত | WLAN ড্রাইভার |
| CVE-2017-8251 | এ-62379525 QC-CR#2006015 | ইওপি | পরিমিত | ক্যামেরা ড্রাইভার |
| CVE-2017-10997 | A-33039685 * QC-CR#1103077 | ইওপি | পরিমিত | পিসিআই ড্রাইভার |
| CVE-2017-11000 | A-36136563 * QC-CR#2031677 | ইওপি | পরিমিত | ক্যামেরা ড্রাইভার |
| CVE-2017-8247 | এ-62378684 QC-CR#2023513 | ইওপি | পরিমিত | ক্যামেরা ড্রাইভার |
| CVE-2017-9720 | A-36264696 * QC-CR#2041066 | ইওপি | পরিমিত | ক্যামেরা ড্রাইভার |
| CVE-2017-8277 | এ-62378788 QC-CR#2009047 | ইওপি | পরিমিত | ভিডিও ড্রাইভার |
| CVE-2017-8281 | এ-62378232 QC-CR#2015892 | আইডি | পরিমিত | স্বয়ংচালিত মাল্টিমিডিয়া |
| CVE-2017-11040 | A-37567102 * QC-CR#2038166 | আইডি | পরিমিত | ভিডিও ড্রাইভার |
গুগল ডিভাইস আপডেট
এই টেবিলে লেটেস্ট ওভার-দ্য-এয়ার আপডেট (OTA) এবং Google ডিভাইসের জন্য ফার্মওয়্যার ইমেজের নিরাপত্তা প্যাচ লেভেল রয়েছে। Google ডিভাইস OTA-তে অতিরিক্ত আপডেট থাকতে পারে। Google ডিভাইসের ফার্মওয়্যারের ছবিগুলি Google ডেভেলপার সাইটে পাওয়া যায়।
| গুগল ডিভাইস | নিরাপত্তা প্যাচ স্তর |
|---|---|
| পিক্সেল/পিক্সেল এক্সএল | 2017-09-05 |
| Nexus 5X | 2017-09-05 |
| নেক্সাস 6 | 2017-09-05 |
| Nexus 6P | 2017-09-05 |
| নেক্সাস 9 | 2017-09-05 |
| নেক্সাস প্লেয়ার | 2017-09-05 |
| পিক্সেল সি | 2017-09-05 |
স্বীকৃতি
আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:
| সিভিই | গবেষকরা |
|---|---|
| CVE-2017-11000 | আলিবাবা মোবাইল সিকিউরিটি গ্রুপের বাওজেং ডিং ( @স্প্লোভিং ), চেংমিং ইয়াং এবং ইয়াং গান |
| CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785 | আর্মিস, ইনকর্পোরেটেডের বেন সেরি এবং গ্রেগরি ভিশনপলস্কি ( https://armis.com ) |
| CVE-2017-0800, CVE-2017-0798 | আলিবাবা মোবাইল সিকিউরিটি গ্রুপের চেংমিং ইয়াং, বাওজেং ডিং এবং ইয়াং গান |
| CVE-2017-0765 | চি ঝাং , মিংজিয়ান ঝৌ ( @মিংজিয়ান_ঝৌ ), এবং সি0 আরই টিমের জুক্সিয়ান জিয়াং |
| CVE-2017-0758 | Chong Wang এবং 金哲 (Zhe Jin), Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0752 | কং ঝেং ( @শেলকং ), ওয়েনজুন হু, জিয়াও ঝাং, এবং পালো অল্টো নেটওয়ার্কের ঝি জু |
| CVE-2017-0801 | দাচেং শাও , মিংজিয়ান ঝৌ ( @মিংজিয়ান_ঝৌ ), এবং সি0 আরই টিমের জুক্সিয়ান জিয়াং |
| CVE-2017-0755 | আলিবাবা মোবাইল সিকিউরিটি টিমের দাউই পেং ( weibo: Vinc3nt4H ) |
| CVE-2017-0775, CVE-2017-0774, CVE-2017-0771 | আলফা টিমের এলফেট এবং গং গুয়াং, কিহু 360 প্রযুক্তি কোং লিমিটেড। |
| CVE-2017-0784 | En He ( @heeeeen4x ) এবং MS509 টিমের বো লিউ |
| CVE-2017-10997 | Gengjia Chen ( @chengjia4574 ) এবং IceSword Lab এর pjf , Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0786, CVE-2017-0792, CVE-2017-0791, CVE-2017-0790, CVE-2017-0789, CVE-2017-0788, CVE-2017-0787 | আলফা টিমের হাও চেন এবং গুয়াং গং, কিহু 360 প্রযুক্তি কোং লিমিটেড। |
| CVE-2017-0802 | শেলফিশ গ্রিল টিমের জেক করিনা ( @জেককোরিনা ) |
| CVE-2017-0780 | ট্রেন্ড মাইক্রোর জেসন গু এবং সেভেন শেন |
| CVE-2017-0769 | C0RE টিমের মিংজিয়ান ঝো ( @Mingjian_Zhou ), দাচেং শাও , এবং Xuxian জিয়াং |
| CVE-2017-0794, CVE-2017-9720, CVE-2017-11001, CVE-2017-10999, CVE-2017-0766 | পেংফেই ডিং (丁鹏飞), চেনফু বাও (包沉浮), বাইদু এক্স-ল্যাবের লেনক্স ওয়েই (韦韬) (百度安全实验室) |
| CVE-2017-0772 | ট্রেন্ড মাইক্রোর সেভেন শেন |
| CVE-2017-0757 | ভ্যাসিলি ভ্যাসিলিভ |
| CVE-2017-0768, CVE-2017-0779 | ওয়েনকে ডু , মিংজিয়ান ঝৌ ( @মিংজিয়ান_ঝৌ ) এবং C0RE টিমের জুক্সিয়ান জিয়াং |
| CVE-2017-0759 | আলিবাবা ইনকর্পোরেটেডের উইচাও সান |
| CVE-2017-0796 | আলিবাবা মোবাইল সিকিউরিটি গ্রুপের জিয়াংকিয়ান ঝাং, চেংমিং ইয়াং, বাওজেং ডিং এবং ইয়াং গান |
| CVE-2017-0753 | Qihoo360 Qex টিমের ইয়াংকাং ( @dnpushme ) এবং হুজিয়ানফেই |
| CVE-2017-12146 | IceSword Lab এর Yonggang Guo ( @guoygang ), Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0767 | ইয়ংকে ওয়াং এবং টেনসেন্টের জুয়ানউ ল্যাবের ইউয়েবিন সান |
| CVE-2017-0804, CVE-2017-0803, CVE-2017-0799, CVE-2017-0795 | Vulpecker টিমের Yu Pan এবং Yang Dai , Qihoo 360 Technology Co. Ltd |
| CVE-2017-0760 | চেংদু সিকিউরিটি রেসপন্স সেন্টারের জিনুও হান এবং 金哲 (ঝে জিন), কিহু 360 টেকনোলজি কোং লিমিটেড। |
| CVE-2017-0764, CVE-2017-0761, CVE-2017-0776, CVE-2017-0777, CVE-2017-0778 | চেংডু সিকিউরিটি রেসপন্স সেন্টারের জিনু হান , কিহু 360 টেকনোলজি কোং লিমিটেড। |
সাধারণ প্রশ্ন এবং উত্তর
এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।
1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?
কিভাবে একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর চেক করতে হয় তা জানতে, Pixel এবং Nexus আপডেট শিডিউলের নির্দেশাবলী পড়ুন।
- 2017-09-01 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2017-09-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।
- 2017-09-05 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2017-09-05 নিরাপত্তা প্যাচ স্তর এবং পূর্ববর্তী সমস্ত প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করে।
এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:
- [ro.build.version.security_patch]:[2017-09-01]
- [ro.build.version.security_patch]:[2017-09-05]
2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?
এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷
- 2017-09-01 নিরাপত্তা প্যাচ স্তর ব্যবহার করে এমন ডিভাইসগুলিতে সেই নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত করতে হবে।
- যে ডিভাইসগুলি 2017-09-05 বা নতুনের নিরাপত্তা প্যাচ স্তর ব্যবহার করে সেগুলিকে অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।
অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷
3. টাইপ কলামের এন্ট্রিগুলির অর্থ কী?
দুর্বলতার বিবরণ টেবিলের টাইপ কলামের এন্ট্রি নিরাপত্তা দুর্বলতার শ্রেণীবিভাগ উল্লেখ করে।
| সংক্ষিপ্ত রূপ | সংজ্ঞা |
|---|---|
| আরসিই | রিমোট কোড এক্সিকিউশন |
| ইওপি | বিশেষাধিকারের উচ্চতা |
| আইডি | তথ্য প্রকাশ |
| DoS | সেবা দিতে অস্বীকার করা |
| N/A | শ্রেণীবিভাগ উপলব্ধ নয় |
4. রেফারেন্স কলামের এন্ট্রিগুলির অর্থ কী?
দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে।
| উপসর্গ | রেফারেন্স |
|---|---|
| ক- | অ্যান্ড্রয়েড বাগ আইডি |
| QC- | কোয়ালকম রেফারেন্স নম্বর |
| এম- | মিডিয়াটেক রেফারেন্স নম্বর |
| এন- | NVIDIA রেফারেন্স নম্বর |
| খ- | ব্রডকম রেফারেন্স নম্বর |
5. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে * এর অর্থ কী?
যে সমস্যাগুলি সর্বজনীনভাবে উপলব্ধ নয় সেগুলির রেফারেন্স কলামে Android বাগ আইডির পাশে একটি * থাকে৷ এই সমস্যার জন্য আপডেটটি সাধারণত Google বিকাশকারী সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে থাকে৷
সংস্করণ
| সংস্করণ | তারিখ | মন্তব্য |
|---|---|---|
| 1.0 | 5 সেপ্টেম্বর, 2017 | বুলেটিন প্রকাশিত হয়েছে। |
| 1.1 | সেপ্টেম্বর 12, 2017 | শিল্প-সমন্বিত প্রকাশের অংশ হিসাবে CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, এবং CVE-2017-0785-এর বিবরণ যোগ করা হয়েছে। |
| 1.2 | 13 সেপ্টেম্বর, 2017 | AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে। |
| 1.3 | 25 সেপ্টেম্বর, 2017 | শিল্প-সমন্বিত প্রকাশের অংশ হিসাবে CVE-2017-11120 এবং CVE-2017-11121-এর বিবরণ যোগ করা হয়েছে। |
| 1.4 | সেপ্টেম্বর 28, 2017 | CVE-2017-11001-এর জন্য বিক্রেতার রেফারেন্স আপডেট করুন। |