অ্যান্ড্রয়েড সিকিউরিটি বুলেটিন—জানুয়ারি ২০২২

4 জানুয়ারী, 2022 প্রকাশিত | জানুয়ারী 10, 2022

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ 2022-01-05 বা তার পরের নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে। একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।

অ্যান্ড্রয়েড অংশীদারদের প্রকাশনার অন্তত এক মাস আগে সমস্ত সমস্যা সম্পর্কে অবহিত করা হয়। এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল Android রানটাইম উপাদানের একটি উচ্চ নিরাপত্তা দুর্বলতা যা অতিরিক্ত অনুমতিগুলিতে অ্যাক্সেস পাওয়ার জন্য স্থানীয় আক্রমণকারীকে মেমরি সীমাবদ্ধতা বাইপাস করতে সক্ষম করতে পারে। প্ল্যাটফর্ম এবং পরিষেবা প্রশমনগুলি উন্নয়নের উদ্দেশ্যে বন্ধ করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

Android সিকিউরিটি প্ল্যাটফর্ম সুরক্ষা এবং Google Play Protect সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google Play Protect প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে।

অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং পরিষেবা সুরক্ষা যেমন Google Play Protect দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android নিরাপত্তা দল সক্রিয়ভাবে Google Play Protect- এর মাধ্যমে অপব্যবহারের জন্য নজরদারি করে এবং ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে। Google Play Protect ডিফল্টরূপে Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে সক্রিয় থাকে এবং বিশেষত সেই ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপগুলি ইনস্টল করেন৷

2022-01-01 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2022-01-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাগুলি নীচের সারণীতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়। Android 10 এবং তার পরের ডিভাইসগুলি নিরাপত্তা আপডেটের পাশাপাশি Google Play সিস্টেম আপডেট পেতে পারে।

ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা অতিরিক্ত অনুমতিগুলিতে অ্যাক্সেস পাওয়ার জন্য ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তাগুলিকে বাইপাস করতে একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2021-39630 এ-202768292 ইওপি উচ্চ 12
CVE-2021-39632 A-202159709 ইওপি উচ্চ 11, 12
CVE-2020-0338 A-123700107 আইডি উচ্চ 9, 10

মিডিয়া ফ্রেমওয়ার্ক

এই বিভাগে দুর্বলতা কোনো অতিরিক্ত কার্যকরী সুবিধা বা ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন ছাড়া বিশেষাধিকারের দূরবর্তী বৃদ্ধি হতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2021-39623 এ-194105348 ইওপি উচ্চ 9, 10, 11, 12

পদ্ধতি

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় বিশেষাধিকারপ্রাপ্ত আক্রমণকারীকে ব্যবহারকারীর সম্মতি ছাড়াই বিদ্যমান প্যাকেজগুলি ইনস্টল করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2021-39618 A-196855999 * ইওপি উচ্চ 9, 10, 11, 12
CVE-2021-39620 A-203847542 ইওপি উচ্চ 11, 12
CVE-2021-39621 এ-185126319 ইওপি উচ্চ 9, 10, 11, 12
CVE-2021-39622 A-192663648 * ইওপি উচ্চ 10, 11, 12
CVE-2021-39625 A-194695347 * ইওপি উচ্চ 9, 10, 11, 12
CVE-2021-39626 এ-194695497 ইওপি উচ্চ 9, 10, 11, 12
CVE-2021-39627 এ-185126549 ইওপি উচ্চ 9, 10, 11, 12
CVE-2021-39629 এ-197353344 ইওপি উচ্চ 9, 10, 11, 12
CVE-2021-0643 এ-183612370 আইডি উচ্চ 10, 11, 12
CVE-2021-39628 এ-189575031 আইডি উচ্চ 10, 11
CVE-2021-39659 এ-208267659 DoS উচ্চ 10, 11, 12

গুগল প্লে সিস্টেম আপডেট

এই মাসে Google Play সিস্টেম আপডেটে (প্রজেক্ট মেইনলাইন) কোনো নিরাপত্তা সমস্যা সমাধান করা হয়নি।

2022-01-05 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2022-01-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাগুলি নীচের সারণীতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

অ্যান্ড্রয়েড রানটাইম

এই বিভাগে দুর্বলতা স্থানীয় আক্রমণকারীকে অতিরিক্ত অনুমতিগুলিতে অ্যাক্সেস পাওয়ার জন্য মেমরি সীমাবদ্ধতা বাইপাস করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2021-0959 A-200284993 ইওপি উচ্চ 12

কার্নেল উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি জাতিগত অবস্থার কারণে বিশেষাধিকারের স্থানীয় বৃদ্ধির দিকে নিয়ে যেতে পারে, কোন অতিরিক্ত কার্যকরী সুবিধা বা ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন নেই।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2021-39634 এ-204450605
আপস্ট্রিম কার্নেল
ইওপি উচ্চ কার্নেল
CVE-2021-39633 এ-150694665
আপস্ট্রিম কার্নেল
আইডি উচ্চ কার্নেল

কার্নেল এলটিএস

নিম্নলিখিত কার্নেল সংস্করণ আপডেট করা হয়েছে।

তথ্যসূত্র অ্যান্ড্রয়েড লঞ্চ সংস্করণ কার্নেল লঞ্চ সংস্করণ ন্যূনতম লঞ্চ সংস্করণ
এ-182179492 11 5.4 ৫.৪.৮৬

মিডিয়াটেক উপাদান

এই দুর্বলতাগুলি MediaTek উপাদানগুলিকে প্রভাবিত করে এবং আরও বিশদ সরাসরি MediaTek থেকে পাওয়া যায়। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি MediaTek দ্বারা সরবরাহ করা হয়৷

সিভিই তথ্যসূত্র নির্দয়তা উপাদান
CVE-2021-31345 এ-207693368
এম- MOLY00756840 *
উচ্চ মডেম (নিউক্লিয়াস নেট TCP/IP)
CVE-2021-31346 এ-207646334
M-MOLY00756840 *
উচ্চ মডেম (নিউক্লিয়াস নেট TCP/IP)
CVE-2021-31890 এ-207646336
M-MOLY00756840 *
উচ্চ মডেম (নিউক্লিয়াস নেট TCP/IP)
CVE-2021-40148 এ-204728248
M-MOLY00716585 *
উচ্চ মডেম ইএমএম
CVE-2021-31889 এ-207646335
M-MOLY00756840 *
উচ্চ মডেম (নিউক্লিয়াস নেট TCP/IP)

Unisoc উপাদান

এই দুর্বলতা Unisoc উপাদানগুলিকে প্রভাবিত করে এবং আরও বিশদ সরাসরি Unisoc থেকে পাওয়া যায়। এই সমস্যার তীব্রতা মূল্যায়ন সরাসরি Unisoc দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা উপাদান
CVE-2021-1049 A-204256722
U-1733219 *
উচ্চ স্লগমোডেম

কোয়ালকম উপাদান

এই দুর্বলতাগুলি Qualcomm উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা উপাদান
CVE-2021-30319 A-202025735
QC-CR#2960714
উচ্চ WLAN
CVE-2021-30353 A-202025599
QC-CR#2993069 [ 2 ]
উচ্চ শ্রুতি

কোয়ালকম ক্লোজড সোর্স উপাদান

এই দুর্বলতাগুলি Qualcomm ক্লোজড-সোর্স উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা উপাদান
CVE-2021-30285 A-193070555 * সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2021-30287 A-193070556 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2021-30300 A-193071116 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2021-30301 এ-193070342 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2021-30307 A-193070700 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2021-30308 এ-193070594 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2021-30311 A-193070557 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট

সাধারণ প্রশ্ন এবং উত্তর

এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।

  • 2022-01-01-এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2022-01-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।
  • 2022-01-05 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2022-01-05 নিরাপত্তা প্যাচ স্তর এবং সমস্ত পূর্ববর্তী প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করে।

এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:

  • [ro.build.version.security_patch]:[2022-01-01]
  • [ro.build.version.security_patch]:[2022-01-05]

Android 10 বা তার পরের কিছু ডিভাইসের জন্য, Google Play সিস্টেম আপডেটে একটি তারিখের স্ট্রিং থাকবে যা 2022-01-01 নিরাপত্তা প্যাচ স্তরের সাথে মেলে। নিরাপত্তা আপডেট কিভাবে ইনস্টল করতে হয় সে সম্পর্কে আরো বিস্তারিত জানার জন্য অনুগ্রহ করে এই নিবন্ধটি দেখুন।

2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?

এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷

  • যে ডিভাইসগুলি 2022-01-01 সুরক্ষা প্যাচ স্তর ব্যবহার করে সেগুলি অবশ্যই সেই সুরক্ষা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত করতে হবে।
  • যে ডিভাইসগুলি 2022-01-05 বা নতুনের নিরাপত্তা প্যাচ স্তর ব্যবহার করে তাদের অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।

অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷

3. টাইপ কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ টেবিলের টাইপ কলামের এন্ট্রি নিরাপত্তা দুর্বলতার শ্রেণীবিভাগ উল্লেখ করে।

সংক্ষিপ্ত রূপ সংজ্ঞা
আরসিই রিমোট কোড এক্সিকিউশন
ইওপি বিশেষাধিকারের উচ্চতা
আইডি তথ্য প্রকাশ
DoS সেবা দিতে অস্বীকার করা
N/A শ্রেণীবিভাগ উপলব্ধ নয়

4. রেফারেন্স কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে।

উপসর্গ রেফারেন্স
ক- অ্যান্ড্রয়েড বাগ আইডি
QC- কোয়ালকম রেফারেন্স নম্বর
এম- মিডিয়াটেক রেফারেন্স নম্বর
এন- NVIDIA রেফারেন্স নম্বর
খ- ব্রডকম রেফারেন্স নম্বর
উ- UNISOC রেফারেন্স নম্বর

5. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে একটি * বলতে কী বোঝায়?

যে সমস্যাগুলি সর্বজনীনভাবে উপলব্ধ নয় সেগুলির সংশ্লিষ্ট রেফারেন্স আইডির পাশে একটি * থাকে৷ এই সমস্যার জন্য আপডেটটি সাধারণত Google ডেভেলপার সাইট থেকে উপলব্ধ Pixel ডিভাইসগুলির জন্য সাম্প্রতিক বাইনারি ড্রাইভারগুলিতে থাকে৷

6. কেন এই বুলেটিন এবং ডিভাইস/পার্টনার সিকিউরিটি বুলেটিন, যেমন পিক্সেল বুলেটিন এর মধ্যে নিরাপত্তা দুর্বলতা বিভক্ত?

এই নিরাপত্তা বুলেটিনে নথিভুক্ত নিরাপত্তা দুর্বলতাগুলিকে Android ডিভাইসে সর্বশেষ নিরাপত্তা প্যাচ স্তর ঘোষণা করতে হবে। নিরাপত্তা প্যাচ স্তর ঘোষণা করার জন্য ডিভাইস / অংশীদার নিরাপত্তা বুলেটিনগুলিতে নথিভুক্ত অতিরিক্ত নিরাপত্তা দুর্বলতাগুলির প্রয়োজন নেই৷ অ্যান্ড্রয়েড ডিভাইস এবং চিপসেট নির্মাতারাও তাদের পণ্যগুলির জন্য নির্দিষ্ট নিরাপত্তা দুর্বলতার বিবরণ প্রকাশ করতে পারে, যেমন Google , Huawei , LGE , Motorola , Nokia , বা Samsung

সংস্করণ

সংস্করণ তারিখ মন্তব্য
1.0 4 জানুয়ারী, 2022 বুলেটিন প্রকাশিত হয়েছে
1.1 জানুয়ারী 5, 2022 AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে
2.0 জানুয়ারী 10, 2022 সংশোধিত CVE টেবিল