Android নিরাপত্তা বুলেটিন—ডিসেম্বর 2018

সেভ করা পৃষ্ঠা গুছিয়ে রাখতে 'সংগ্রহ' ব্যবহার করুন আপনার পছন্দ অনুযায়ী কন্টেন্ট সেভ করুন ও সঠিক বিভাগে রাখুন।

ডিসেম্বর 3, 2018 প্রকাশিত | 5 ডিসেম্বর, 2018 আপডেট করা হয়েছে

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ 2018-12-05 বা তার পরের নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে। একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন

অ্যান্ড্রয়েড অংশীদারদের প্রকাশনার অন্তত এক মাস আগে সমস্ত সমস্যা সম্পর্কে অবহিত করা হয়। এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল মিডিয়া ফ্রেমওয়ার্কের একটি গুরুতর নিরাপত্তা দুর্বলতা যা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। প্ল্যাটফর্ম এবং পরিষেবা প্রশমনগুলি উন্নয়নের উদ্দেশ্যে বন্ধ করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণ বা অপব্যবহারের কোনও রিপোর্ট নেই। Android সিকিউরিটি প্ল্যাটফর্ম সুরক্ষা এবং Google Play Protect সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google Play Protect প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে।

দ্রষ্টব্য: সর্বশেষ ওভার-দ্য-এয়ার আপডেট (OTA) এবং Google ডিভাইসগুলির জন্য ফার্মওয়্যার চিত্রের তথ্য ডিসেম্বর 2018 Pixel / Nexus নিরাপত্তা বুলেটিনে উপলব্ধ।

অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং পরিষেবা সুরক্ষা যেমন Google Play Protect দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android নিরাপত্তা দল সক্রিয়ভাবে Google Play Protect- এর মাধ্যমে অপব্যবহারের জন্য নজরদারি করে এবং ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে। Google Play Protect ডিফল্টরূপে Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে সক্রিয় থাকে এবং বিশেষত সেই ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপগুলি ইনস্টল করেন৷

2018-12-01 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2018-12-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাটির বর্ণনা এবং CVE, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) সহ একটি টেবিল রয়েছে। উপলভ্য হলে, আমরা পাবলিক পরিবর্তনকে লিঙ্ক করি যা সমস্যাটির সমাধান করেছে, যেমন AOSP পরিবর্তন তালিকা। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2018-9547 এ-114223584 ইওপি উচ্চ 8.1, 9
CVE-2018-9548 এ-112555574 আইডি উচ্চ 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

মিডিয়া ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2018-9549 এ-112160868 আরসিই সমালোচনামূলক 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9550 এ-112660981 আরসিই সমালোচনামূলক 9
CVE-2018-9551 এ-112891548 আরসিই সমালোচনামূলক 9
CVE-2018-9552 এ-113260892 আইডি সমালোচনামূলক 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9553 এ-116615297 আরসিই উচ্চ 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9538 এ-112181526 ইওপি উচ্চ 8.1, 9
CVE-2018-9554 এ-114770654 আইডি উচ্চ 7.0, 7.1.1, 7.1.2, 8.0, 8.1

পদ্ধতি

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি ট্রান্সমিশন ব্যবহার করে দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2018-9555 এ-112321180 আরসিই সমালোচনামূলক 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9556 এ-113118184 আরসিই সমালোচনামূলক 9
CVE-2018-9557 A-35385357 * ইওপি উচ্চ 7.0, 7.1.1, 7.1.2
CVE-2018-9558 এ-112161557 ইওপি উচ্চ 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9559 এ-112731440 ইওপি উচ্চ 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9560 A-79946737 ইওপি উচ্চ 9
CVE-2018-9562 এ-113164621 আইডি উচ্চ 9
CVE-2018-9566 এ-74249842 আইডি উচ্চ 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

2018-12-05 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2018-12-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয় এবং এতে CVE, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা , উপাদান (যেখানে প্রযোজ্য) এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) এর মতো বিশদ অন্তর্ভুক্ত থাকে। উপলভ্য হলে, আমরা পাবলিক পরিবর্তনকে লিঙ্ক করি যা সমস্যাটির সমাধান করেছে, যেমন AOSP পরিবর্তন তালিকা। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

পদ্ধতি

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা দূরবর্তী তথ্য প্রকাশের দিকে নিয়ে যেতে পারে যার কোনো অতিরিক্ত কার্যকরী সুবিধার প্রয়োজন নেই।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2018-9565 A-16680558 * আইডি উচ্চ ওএমএ-ডিএম

এইচটিসি উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় আক্রমণকারীকে অতিরিক্ত অনুমতিগুলিতে অ্যাক্সেস পাওয়ার জন্য ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তাগুলিকে বাইপাস করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2018-9567 A-65543936 * ইওপি উচ্চ বুটলোডার

কার্নেল উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা স্থানীয় আক্রমণকারীকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2018-10840 এ-116406508
আপস্ট্রিম কার্নেল
ইওপি উচ্চ ext4 ফাইল সিস্টেম
CVE-2018-9568 এ-113509306
আপস্ট্রিম কার্নেল
ইওপি উচ্চ অন্তর্জাল

কোয়ালকম উপাদান

এই দুর্বলতাগুলি Qualcomm উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2018-11960 এ-114042002
QC-CR#2264832
N/A উচ্চ এইচডব্লিউইঞ্জিনস
CVE-2018-11961 এ-114040881
QC-CR#2261813
N/A উচ্চ GPS_AP_LINUX
CVE-2018-11963 এ-114041685
QC-CR#2220770
N/A উচ্চ অটোমোটিভ মাল্টিমিডিয়া

কোয়ালকম ক্লোজড সোর্স উপাদান

এই দুর্বলতাগুলি Qualcomm উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-8248 A-78135902 * N/A সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-11004 A-66913713 * N/A সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18141 A-67712316 * N/A সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2018-5913 A-79419833 * N/A সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2018-11279 A-109678200 * N/A সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18319 A-78284753 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18321 A-78283451 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18322 A-78285196 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18323 A-78284194 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18324 A-78284517 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18327 A-78240177 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18331 A-78239686 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18332 A-78284545 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18160 A-109660689 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18326 A-78240324 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-8276 A-68141338 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18328 A-78286046 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18329 A-73539037 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18330 A-73539235 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2018-3595 A-71501115 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-18320 A-33757308 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2018-11999 A-74236942 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2018-5867 A-77485184 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2018-5868 A-77484529 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2018-5869 A-33385206 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2017-5754 A-79419639 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2018-5915 A-79420511 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2018-11267 A-109678338 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2018-11922 A-112279564 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট

সাধারণ প্রশ্ন এবং উত্তর

এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন

  • 2018-12-01 বা তার পরের নিরাপত্তা প্যাচ স্তরগুলি 2018-12-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।
  • 2018-12-05 বা তার পরের নিরাপত্তা প্যাচ স্তরগুলি 2018-12-05 নিরাপত্তা প্যাচ স্তর এবং সমস্ত পূর্ববর্তী প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যাকে সম্বোধন করে।

এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:

  • [ro.build.version.security_patch]:[2018-12-01]
  • [ro.build.version.security_patch]:[2018-12-05]

2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?

এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷

  • 2018-12-01 নিরাপত্তা প্যাচ স্তর ব্যবহার করে এমন ডিভাইসগুলিতে সেই নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত করতে হবে।
  • যে ডিভাইসগুলি 2018-12-05 বা নতুনের নিরাপত্তা প্যাচ স্তর ব্যবহার করে সেগুলিকে অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।

অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷

3. টাইপ কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ টেবিলের টাইপ কলামের এন্ট্রি নিরাপত্তা দুর্বলতার শ্রেণীবিভাগ উল্লেখ করে।

সংক্ষিপ্ত রূপ সংজ্ঞা
আরসিই রিমোট কোড এক্সিকিউশন
ইওপি বিশেষাধিকারের উচ্চতা
আইডি তথ্য প্রকাশ
DoS সেবা দিতে অস্বীকার করা
N/A শ্রেণীবিভাগ উপলব্ধ নয়

4. রেফারেন্স কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে।

উপসর্গ রেফারেন্স
ক- অ্যান্ড্রয়েড বাগ আইডি
QC- কোয়ালকম রেফারেন্স নম্বর
এম- মিডিয়াটেক রেফারেন্স নম্বর
এন- NVIDIA রেফারেন্স নম্বর
খ- ব্রডকম রেফারেন্স নম্বর

5. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে * এর অর্থ কী?

যে সমস্যাগুলি সর্বজনীনভাবে উপলব্ধ নয় সেগুলির রেফারেন্স কলামে Android বাগ আইডির পাশে একটি * থাকে৷ এই সমস্যার জন্য আপডেটটি সাধারণত Google বিকাশকারী সাইট থেকে উপলব্ধ Pixel/Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে থাকে৷

6. কেন এই বুলেটিন এবং ডিভাইস/পার্টনার সিকিউরিটি বুলেটিন, যেমন পিক্সেল/নেক্সাস বুলেটিন-এর মধ্যে নিরাপত্তা দুর্বলতা বিভক্ত?

এই নিরাপত্তা বুলেটিনে নথিভুক্ত নিরাপত্তা দুর্বলতাগুলিকে Android ডিভাইসে সর্বশেষ নিরাপত্তা প্যাচ স্তর ঘোষণা করতে হবে। নিরাপত্তা প্যাচ স্তর ঘোষণা করার জন্য ডিভাইস / অংশীদার নিরাপত্তা বুলেটিনগুলিতে নথিভুক্ত অতিরিক্ত নিরাপত্তা দুর্বলতাগুলির প্রয়োজন নেই৷ অ্যান্ড্রয়েড ডিভাইস এবং চিপসেট নির্মাতাদের তাদের নিজস্ব নিরাপত্তা ওয়েবসাইট যেমন Samsung , LGE , বা Pixel / Nexus নিরাপত্তা বুলেটিনগুলির মাধ্যমে তাদের ডিভাইসে অন্যান্য ফিক্সের উপস্থিতি নথিভুক্ত করতে উত্সাহিত করা হয়৷

সংস্করণ

সংস্করণ তারিখ মন্তব্য
1.0 ডিসেম্বর 3, 2018 বুলেটিন প্রকাশিত হয়েছে
1.1 5 ডিসেম্বর, 2018 AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।