4 মে, 2020 এ প্রকাশিত | 7 মে, 2020 আপডেট করা হয়েছে
অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ 2020-05-05 বা তার পরের নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে। একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।
অ্যান্ড্রয়েড অংশীদারদের প্রকাশনার অন্তত এক মাস আগে সমস্ত সমস্যা সম্পর্কে অবহিত করা হয়। এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷
এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল সিস্টেম উপাদানের একটি গুরুতর নিরাপত্তা দুর্বলতা যা একটি বিশেষভাবে তৈরি করা ট্রান্সমিশন ব্যবহার করে একটি বিশেষভাবে তৈরি করা ট্রান্সমিশন ব্যবহার করে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্রিয় করতে পারে। প্ল্যাটফর্ম এবং পরিষেবা প্রশমনগুলি উন্নয়নের উদ্দেশ্যে বন্ধ করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।
Android সিকিউরিটি প্ল্যাটফর্ম সুরক্ষা এবং Google Play Protect সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google Play Protect প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে।
অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন
এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং পরিষেবা সুরক্ষা যেমন Google Play Protect দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
- Android নিরাপত্তা দল সক্রিয়ভাবে Google Play Protect- এর মাধ্যমে অপব্যবহারের জন্য নজরদারি করে এবং ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে। Google Play Protect ডিফল্টরূপে Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে সক্রিয় থাকে এবং বিশেষত সেই ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপগুলি ইনস্টল করেন৷
2020-05-01 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ
নীচের বিভাগগুলিতে, আমরা 2020-05-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাগুলি নীচের সারণীতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়। Android 10 এবং তার পরের ডিভাইসগুলি নিরাপত্তা আপডেটের পাশাপাশি Google Play সিস্টেম আপডেট পেতে পারে।
ফ্রেমওয়ার্ক
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি স্থানীয় আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | AOSP সংস্করণ আপডেট করা হয়েছে |
|---|---|---|---|---|
| CVE-2020-0096 | A-145669109 [ 2 ] | ইওপি | সমালোচনামূলক | 8.0, 8.1, 9 |
| CVE-2020-0097 | A-145981139 [ 2 ] [ 3 ] | ইওপি | উচ্চ | 9, 10 |
| CVE-2020-0098 | এ-144285917 | ইওপি | উচ্চ | 8.0, 8.1, 9, 10 |
মিডিয়া ফ্রেমওয়ার্ক
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় আক্রমণকারীকে অতিরিক্ত অনুমতিগুলিতে অ্যাক্সেস পেতে ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজনীয়তাগুলিকে বাইপাস করতে সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | AOSP সংস্করণ আপডেট করা হয়েছে |
|---|---|---|---|---|
| CVE-2020-0094 | এ-148223871 | ইওপি | উচ্চ | 9, 10 |
| CVE-2020-0093 | এ-148705132 | আইডি | উচ্চ | 8.0, 8.1, 9, 10 |
| CVE-2020-0100 | এ-150156584 | আইডি | উচ্চ | 8.0, 8.1 |
| CVE-2020-0101 | এ-144767096 | আইডি | উচ্চ | 8.0, 8.1, 9, 10 |
পদ্ধতি
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি ট্রান্সমিশন ব্যবহার করে দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | AOSP সংস্করণ আপডেট করা হয়েছে |
|---|---|---|---|---|
| CVE-2020-0103 | এ-148107188 | আরসিই | সমালোচনামূলক | 9, 10 |
| CVE-2020-0102 | এ-143231677 | ইওপি | উচ্চ | 8.0, 8.1, 9, 10 |
| CVE-2020-0109 | এ-148059175 | ইওপি | উচ্চ | 9, 10 |
| CVE-2020-0105 | এ-144285084 | ইওপি | উচ্চ | 9, 10 |
| CVE-2020-0024 | A-137015265 [ 2 ] | ইওপি | উচ্চ | 8.0, 8.1, 9, 10 |
| CVE-2020-0092 | এ-145135488 | আইডি | উচ্চ | 10 |
| CVE-2020-0106 | এ-148414207 | আইডি | উচ্চ | 10 |
| CVE-2020-0104 | এ-144430870 | আইডি | পরিমিত | 9, 10 |
গুগল প্লে সিস্টেম আপডেট
এই মাসে Google Play সিস্টেম আপডেটে (প্রজেক্ট মেইনলাইন) কোনো নিরাপত্তা সমস্যা সমাধান করা হয়নি।
2020-05-05 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ
নীচের বিভাগগুলিতে, আমরা 2020-05-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি সেই উপাদানগুলির অধীনে গোষ্ঠীভুক্ত করা হয় যা তারা প্রভাবিত করে এবং বিশদগুলি অন্তর্ভুক্ত করে যেমন CVE, সম্পর্কিত রেফারেন্স, দুর্বলতার ধরন , তীব্রতা , উপাদান (যেখানে প্রযোজ্য), এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য)। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।
কার্নেল উপাদান
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি স্থানীয় আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2020-0110 | এ-148159562 আপস্ট্রিম কার্নেল | ইওপি | উচ্চ | কার্নেল সিডিউলার |
| CVE-2019-19536 | এ-146642883 আপস্ট্রিম কার্নেল | আইডি | উচ্চ | PCAN-USB ড্রাইভার |
মিডিয়াটেক উপাদান
এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় আক্রমণকারীকে বিশেষ সুবিধাপ্রাপ্ত অ্যাক্সেস সহ সংবেদনশীল ডেটাতে অ্যাক্সেস পেতে সক্ষম করতে পারে।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2020-0064 | A-149866855 * M-ALPS04737871 | আইডি | উচ্চ | Omacp |
| CVE-2020-0065 | A-149813448 * M-ALPS04886658 | আইডি | উচ্চ | অ্যান্ড্রয়েড স্যুট ডেমন |
| CVE-2020-0090 | A-149813048 * M-ALPS04983879 | আইডি | উচ্চ | ইমেইল |
| CVE-2020-0091 | A-149808700 * M-ALPS04356368 | আইডি | উচ্চ | mnld |
কোয়ালকম উপাদান
এই দুর্বলতাগুলি Qualcomm উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2019-14053 | এ-143902261 QC-CR#2317498 | N/A | উচ্চ | কার্নেল |
| CVE-2019-14087 | এ-145546454 QC-CR#2165928 | N/A | উচ্চ | প্রদর্শন |
| CVE-2020-3610 | এ-148816869 QC-CR#2460844 [ 2 ] | N/A | উচ্চ | প্রদর্শন |
| CVE-2020-3615 | এ-148817147 QC-CR#2256679 [ 2 ] QC-CR#2258844 | N/A | উচ্চ | WLAN |
| CVE-2020-3623 | A-148815534 * QC-CR#2472080 | N/A | উচ্চ | নিরাপত্তা |
| CVE-2020-3625 | A-148816727 * QC-CR#2493825 | N/A | উচ্চ | নিরাপত্তা |
| CVE-2020-3630 | এ-148816037 QC-CR#2534752 [ 2 ] | N/A | উচ্চ | ভিডিও |
| CVE-2020-3680 | এ-144350801 QC-CR#2597382 | N/A | উচ্চ | কার্নেল |
কোয়ালকম ক্লোজড সোর্স উপাদান
এই দুর্বলতাগুলি Qualcomm ক্লোজড-সোর্স উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।
| সিভিই | তথ্যসূত্র | টাইপ | নির্দয়তা | উপাদান |
|---|---|---|---|---|
| CVE-2020-3641 | A-148816624 * | N/A | সমালোচনামূলক | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2019-14054 | A-143902264 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2019-14066 | A-143903296 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2019-14067 | A-143902707 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2019-14077 | A-143903001 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2019-14078 | A-143902885 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2020-3616 | A-148816292 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2020-3618 | A-148817245 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2020-3633 | A-148816216 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
| CVE-2020-3645 | A-148816217 * | N/A | উচ্চ | ক্লোজড সোর্স কম্পোনেন্ট |
সাধারণ প্রশ্ন এবং উত্তর
এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।
1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?
একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।
- 2020-05-01 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি 2020-05-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।
- 2020-05-05 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি 2020-05-05 নিরাপত্তা প্যাচ স্তর এবং পূর্ববর্তী সমস্ত প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করে।
এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:
- [ro.build.version.security_patch]:[2020-05-01]
- [ro.build.version.security_patch]:[2020-05-05]
Android 10 বা তার পরবর্তী কিছু ডিভাইসের জন্য, Google Play সিস্টেম আপডেটে একটি তারিখের স্ট্রিং থাকবে যা 2020-05-01 নিরাপত্তা প্যাচ স্তরের সাথে মেলে। নিরাপত্তা আপডেট কিভাবে ইনস্টল করতে হয় সে সম্পর্কে আরো বিস্তারিত জানার জন্য অনুগ্রহ করে এই নিবন্ধটি দেখুন।
2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?
এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷
- যে ডিভাইসগুলি 2020-05-01 সুরক্ষা প্যাচ স্তর ব্যবহার করে সেগুলিতে সেই সুরক্ষা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত থাকতে হবে।
- যে ডিভাইসগুলি 2020-05-05 বা তার থেকে নতুন নিরাপত্তা প্যাচ স্তর ব্যবহার করে তাদের অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।
অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷
3. টাইপ কলামের এন্ট্রিগুলির অর্থ কী?
দুর্বলতার বিবরণ টেবিলের টাইপ কলামের এন্ট্রি নিরাপত্তা দুর্বলতার শ্রেণীবিভাগ উল্লেখ করে।
| সংক্ষিপ্ত রূপ | সংজ্ঞা |
|---|---|
| আরসিই | রিমোট কোড এক্সিকিউশন |
| ইওপি | বিশেষাধিকারের উচ্চতা |
| আইডি | তথ্য প্রকাশ |
| DoS | সেবা দিতে অস্বীকার করা |
| N/A | শ্রেণীবিভাগ উপলব্ধ নয় |
4. রেফারেন্স কলামের এন্ট্রিগুলির অর্থ কী?
দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে।
| উপসর্গ | রেফারেন্স |
|---|---|
| ক- | অ্যান্ড্রয়েড বাগ আইডি |
| QC- | কোয়ালকম রেফারেন্স নম্বর |
| এম- | মিডিয়াটেক রেফারেন্স নম্বর |
| এন- | NVIDIA রেফারেন্স নম্বর |
| খ- | ব্রডকম রেফারেন্স নম্বর |
5. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে একটি * বলতে কী বোঝায়?
যে সমস্যাগুলি সর্বজনীনভাবে উপলব্ধ নয় সেগুলির রেফারেন্স কলামে Android বাগ আইডির পাশে একটি * থাকে৷ এই সমস্যার জন্য আপডেটটি সাধারণত Google ডেভেলপার সাইট থেকে উপলব্ধ Pixel ডিভাইসগুলির জন্য সাম্প্রতিক বাইনারি ড্রাইভারগুলিতে থাকে৷
6. কেন এই বুলেটিন এবং ডিভাইস/পার্টনার সিকিউরিটি বুলেটিন, যেমন পিক্সেল বুলেটিন এর মধ্যে নিরাপত্তা দুর্বলতা বিভক্ত?
এই নিরাপত্তা বুলেটিনে নথিভুক্ত নিরাপত্তা দুর্বলতাগুলিকে Android ডিভাইসে সর্বশেষ নিরাপত্তা প্যাচ স্তর ঘোষণা করতে হবে। নিরাপত্তা প্যাচ স্তর ঘোষণা করার জন্য ডিভাইস / অংশীদার নিরাপত্তা বুলেটিনগুলিতে নথিভুক্ত অতিরিক্ত নিরাপত্তা দুর্বলতাগুলির প্রয়োজন নেই৷ অ্যান্ড্রয়েড ডিভাইস এবং চিপসেট নির্মাতারাও তাদের পণ্যগুলির জন্য নির্দিষ্ট নিরাপত্তা দুর্বলতার বিবরণ প্রকাশ করতে পারে, যেমন Google , Huawei , LGE , Motorola , Nokia , বা Samsung ৷
সংস্করণ
| সংস্করণ | তারিখ | মন্তব্য |
|---|---|---|
| 1.0 | 4 মে, 2020 | বুলেটিন প্রকাশিত হয়েছে |
| 1.1 | 7 মে, 2020 | AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে |