অ্যান্ড্রয়েড নিরাপত্তা বুলেটিন—অক্টোবর ২০২০

5 অক্টোবর, 2020 এ প্রকাশিত | 6 অক্টোবর, 2020 আপডেট করা হয়েছে

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ 2020-10-05 বা তার পরের নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে। একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।

অ্যান্ড্রয়েড অংশীদারদের প্রকাশনার অন্তত এক মাস আগে সমস্ত সমস্যা সম্পর্কে অবহিত করা হয়। এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল সিস্টেম কম্পোনেন্টের একটি উচ্চ নিরাপত্তা দুর্বলতা যা একটি বিশেষভাবে তৈরি করা ট্রান্সমিশন ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে অতিরিক্ত অনুমতিগুলিতে অ্যাক্সেস পেতে সক্ষম করতে পারে। প্ল্যাটফর্ম এবং পরিষেবা প্রশমনগুলি উন্নয়নের উদ্দেশ্যে বন্ধ করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

Android সিকিউরিটি প্ল্যাটফর্ম সুরক্ষা এবং Google Play Protect সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google Play Protect প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে।

অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং পরিষেবা সুরক্ষা যেমন Google Play Protect দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android নিরাপত্তা দল সক্রিয়ভাবে Google Play Protect- এর মাধ্যমে অপব্যবহারের জন্য নজরদারি করে এবং ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে। Google Play Protect ডিফল্টরূপে Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে সক্রিয় থাকে এবং বিশেষত সেই ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপগুলি ইনস্টল করেন৷

2020-10-01 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নীচের বিভাগগুলিতে, আমরা 2020-10-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাগুলি নীচের সারণীতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়। Android 10 এবং তার পরের ডিভাইসগুলি নিরাপত্তা আপডেটের পাশাপাশি Google Play সিস্টেম আপডেট পেতে পারে।

অ্যান্ড্রয়েড রানটাইম

এই বিভাগের দুর্বলতা একটি স্থানীয় আক্রমণকারীকে লাইব্রেরি ব্যবহার করে এমন একটি অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2020-0408 A-156999009 ইওপি উচ্চ 8.0, 8.1, 9, 10, 11

ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা অতিরিক্ত অনুমতিগুলিতে অ্যাক্সেস পাওয়ার জন্য ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তাগুলিকে বাইপাস করতে একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2020-0420
এ-162383705 ইওপি উচ্চ 11
CVE-2020-0421 এ-161894517 ইওপি উচ্চ 8.0, 8.1, 9, 10, 11
CVE-2020-0246
এ-159062405 আইডি উচ্চ 10, 11
CVE-2020-0412
এ-160390416 আইডি উচ্চ 8.0, 8.1, 9, 10, 11
CVE-2020-0419
এ-142125338 আইডি উচ্চ 8.1, 9, 10, 11

মিডিয়া ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা দূরবর্তী তথ্য প্রকাশের দিকে নিয়ে যেতে পারে যার কোনো অতিরিক্ত কার্যকরী সুবিধার প্রয়োজন নেই।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2020-0213 এ-143464314 আইডি উচ্চ 10, 11
CVE-2020-0411 এ-142641801 আইডি উচ্চ 10, 11
CVE-2020-0414
এ-157708122 আইডি উচ্চ 10, 11
CVE-2019-2194
এ-137284057 ইওপি পরিমিত 9

পদ্ধতি

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা অতিরিক্ত অনুমতিগুলিতে অ্যাক্সেস পেতে একটি বিশেষভাবে তৈরি করা ট্রান্সমিশন ব্যবহার করে দূরবর্তী আক্রমণকারীকে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2020-0215
A-140417248 [ 2 ] ইওপি উচ্চ 8.0, 8.1, 9, 10, 11
CVE-2020-0416
A-155288585 [ 2 ] ইওপি উচ্চ 8.0, 8.1, 9, 10, 11
CVE-2020-0377
এ-158833854 আইডি উচ্চ 8.0, 8.1, 9, 10, 11
CVE-2020-0378
এ-157748906 আইডি উচ্চ 9, 10, 11
CVE-2020-0398
এ-154323381 আইডি উচ্চ 10, 11
CVE-2020-0400
এ-153356561 আইডি উচ্চ 10, 11
CVE-2020-0410
এ-156021269 আইডি উচ্চ 8.0, 8.1, 9, 10, 11
CVE-2020-0413
এ-158778659 আইডি উচ্চ 8.0, 8.1, 9, 10, 11
CVE-2020-0415
এ-156020795 আইডি উচ্চ 8.0, 8.1, 9, 10, 11
CVE-2020-0422
এ-161718556 আইডি উচ্চ 8.0, 8.1, 9, 10, 11

গুগল প্লে সিস্টেম আপডেট

নিম্নলিখিত সমস্যাগুলি প্রজেক্ট মেইনলাইন উপাদানগুলিতে অন্তর্ভুক্ত করা হয়েছে।

উপাদান সিভিই
মিডিয়া কোডেক CVE-2020-0213
মিডিয়া ফ্রেমওয়ার্ক উপাদান CVE-2020-0411

2020-10-05 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2020-10-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাগুলি নীচের সারণীতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

কার্নেল

এই বিভাগে দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি স্থানীয় আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2020-0423 A-161151868 * ইওপি উচ্চ বাইন্ডার

মিডিয়াটেক উপাদান

এই দুর্বলতাগুলি MediaTek উপাদানগুলিকে প্রভাবিত করে এবং আরও বিশদ সরাসরি MediaTek থেকে পাওয়া যায়। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি MediaTek দ্বারা সরবরাহ করা হয়৷

সিভিই তথ্যসূত্র নির্দয়তা উপাদান
CVE-2020-0283 এ-163008257
M-ALPS05229282 *
উচ্চ কী ইনস্টল করুন
CVE-2020-0339 এ-162980705
M-ALPS05194445 *
উচ্চ ওয়াইডভাইন
CVE-2020-0367
এ-162980455
M-ALPS05194445 *
উচ্চ ওয়াইডভাইন
CVE-2020-0371 এ-163008256
M-ALPS05229226 *
উচ্চ কী ইনস্টল করুন
CVE-2020-0376
এ-163003156
M-ALPS05194415 *
উচ্চ আইএসপি

কোয়ালকম উপাদান

এই দুর্বলতাগুলি Qualcomm উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা উপাদান
CVE-2020-11125 এ-160605820
QC-CR#2617422
QC-CR#2673763
উচ্চ কার্নেল
CVE-2020-11162 এ-160605604
QC-CR#2677376
উচ্চ কার্নেল
CVE-2020-11173 এ-160605709
QC-CR#2646001
উচ্চ কার্নেল
CVE-2020-11174 এ-160605900
QC-CR#2636449
উচ্চ কার্নেল

কোয়ালকম ক্লোজড সোর্স উপাদান

এই দুর্বলতাগুলি Qualcomm ক্লোজড-সোর্স উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা উপাদান
CVE-2020-3654 A-153346045 * সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-3657 A-153344684 * সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-3673 A-153345154 * সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-3692 A-153345116 * সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-11154
A-160605708 * সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-11155 A-160605404 * সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-3638 A-153346253 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-3670 A-153345118 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-3678 A-153345398 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-3684 A-153346047 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-3690 A-153344723 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-3703 A-160605749 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-3704 A-160605508 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-11141 A-160606016 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-11156 A-160605294 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-11157 A-160605864 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-11164 A-160605595 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2020-11169 A-160605405 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট

সাধারণ প্রশ্ন এবং উত্তর

এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।

  • 2020-10-01 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি 2020-10-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।
  • 2020-10-05 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি 2020-10-05 সুরক্ষা প্যাচ স্তর এবং পূর্ববর্তী সমস্ত প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করে।

এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:

  • [ro.build.version.security_patch]:[2020-10-01]
  • [ro.build.version.security_patch]:[2020-10-05]

Android 10 বা তার পরবর্তী কিছু ডিভাইসের জন্য, Google Play সিস্টেম আপডেটে একটি তারিখের স্ট্রিং থাকবে যা 2020-10-01 নিরাপত্তা প্যাচ স্তরের সাথে মেলে। নিরাপত্তা আপডেট কিভাবে ইনস্টল করতে হয় সে সম্পর্কে আরো বিস্তারিত জানার জন্য অনুগ্রহ করে এই নিবন্ধটি দেখুন।

2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?

এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷

  • যে ডিভাইসগুলি 2020-10-01 সুরক্ষা প্যাচ স্তর ব্যবহার করে সেগুলি অবশ্যই সেই সুরক্ষা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত করতে হবে।
  • যে ডিভাইসগুলি 2020-10-05 বা তার থেকে নতুন নিরাপত্তা প্যাচ স্তর ব্যবহার করে সেগুলিকে অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।

অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷

3. টাইপ কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ টেবিলের টাইপ কলামের এন্ট্রি নিরাপত্তা দুর্বলতার শ্রেণীবিভাগ উল্লেখ করে।

সংক্ষিপ্ত রূপ সংজ্ঞা
আরসিই রিমোট কোড এক্সিকিউশন
ইওপি বিশেষাধিকারের উচ্চতা
আইডি তথ্য প্রকাশ
DoS সেবা দিতে অস্বীকার করা
N/A শ্রেণীবিভাগ উপলব্ধ নয়

4. রেফারেন্স কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে।

উপসর্গ রেফারেন্স
ক- অ্যান্ড্রয়েড বাগ আইডি
QC- কোয়ালকম রেফারেন্স নম্বর
এম- মিডিয়াটেক রেফারেন্স নম্বর
এন- NVIDIA রেফারেন্স নম্বর
খ- ব্রডকম রেফারেন্স নম্বর

5. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে একটি * বলতে কী বোঝায়?

যে সমস্যাগুলি সর্বজনীনভাবে উপলব্ধ নয় সেগুলির সংশ্লিষ্ট রেফারেন্স আইডির পাশে একটি * থাকে৷ এই সমস্যার জন্য আপডেটটি সাম্প্রতিক বাইনারি ড্রাইভারগুলিতে থাকতে পারে (পিক্সেল ডিভাইসগুলির জন্য এগুলি Google বিকাশকারী সাইট থেকে উপলব্ধ)।

যে সমস্যাগুলি সর্বজনীনভাবে উপলব্ধ নয় সেগুলির সংশ্লিষ্ট রেফারেন্স আইডির পাশে একটি * থাকে৷ এই সমস্যার জন্য আপডেটটি সাম্প্রতিক বাইনারি ড্রাইভারগুলিতে থাকতে পারে (পিক্সেল ডিভাইসগুলির জন্য এগুলি Google বিকাশকারী সাইট থেকে পাওয়া যায়)।

6. কেন এই বুলেটিন এবং ডিভাইস/পার্টনার সিকিউরিটি বুলেটিন, যেমন পিক্সেল বুলেটিন এর মধ্যে নিরাপত্তা দুর্বলতা বিভক্ত?

এই নিরাপত্তা বুলেটিনে নথিভুক্ত নিরাপত্তা দুর্বলতাগুলিকে Android ডিভাইসে সর্বশেষ নিরাপত্তা প্যাচ স্তর ঘোষণা করতে হবে। নিরাপত্তা প্যাচ স্তর ঘোষণা করার জন্য ডিভাইস / অংশীদার নিরাপত্তা বুলেটিনগুলিতে নথিভুক্ত অতিরিক্ত নিরাপত্তা দুর্বলতাগুলির প্রয়োজন নেই৷ অ্যান্ড্রয়েড ডিভাইস এবং চিপসেট নির্মাতারাও তাদের পণ্যগুলির জন্য নির্দিষ্ট নিরাপত্তা দুর্বলতার বিবরণ প্রকাশ করতে পারে, যেমন Google , Huawei , LGE , Motorola , Nokia , বা Samsung

সংস্করণ

সংস্করণ তারিখ মন্তব্য
1.0 অক্টোবর 5, 2020 বুলেটিন প্রকাশিত হয়েছে
1.1 6 অক্টোবর, 2020 AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে