অ্যান্ড্রয়েড নিরাপত্তা বুলেটিন—অক্টোবর ২০২২

3 অক্টোবর, 2022 প্রকাশিত | 5 অক্টোবর, 2022 আপডেট করা হয়েছে

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ 2022-10-05 বা তার পরের নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে। একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।

অ্যান্ড্রয়েড অংশীদারদের প্রকাশনার অন্তত এক মাস আগে সমস্ত সমস্যা সম্পর্কে অবহিত করা হয়। এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি পরবর্তী 48 ঘন্টার মধ্যে Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হবে। AOSP লিঙ্কগুলি উপলব্ধ হলে আমরা এই বুলেটিনটি সংশোধন করব।

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল ফ্রেমওয়ার্ক কম্পোনেন্টে একটি গুরুতর নিরাপত্তা দুর্বলতা যা বিশেষাধিকারের স্থানীয় বৃদ্ধির দিকে নিয়ে যেতে পারে যেখানে কোনও অতিরিক্ত কার্যকরী সুবিধার প্রয়োজন নেই। প্ল্যাটফর্ম এবং পরিষেবা প্রশমনগুলি উন্নয়নের উদ্দেশ্যে বন্ধ করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

Android সিকিউরিটি প্ল্যাটফর্ম সুরক্ষা এবং Google Play Protect সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google Play Protect প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে।

অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং পরিষেবা সুরক্ষা যেমন Google Play Protect দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android নিরাপত্তা দল সক্রিয়ভাবে Google Play Protect- এর মাধ্যমে অপব্যবহারের জন্য নজরদারি করে এবং ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে। Google Play Protect ডিফল্টরূপে Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে সক্রিয় থাকে এবং বিশেষত সেই ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপগুলি ইনস্টল করেন৷

2022-10-01 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2022-10-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাগুলি নীচের সারণীতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়। Android 10 এবং তার পরের ডিভাইসগুলি নিরাপত্তা আপডেটের পাশাপাশি Google Play সিস্টেম আপডেট পেতে পারে।

ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা বিশেষাধিকারের স্থানীয় বৃদ্ধির দিকে নিয়ে যেতে পারে যেখানে কোনও অতিরিক্ত কার্যকরী সুবিধার প্রয়োজন নেই।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2022-20419 A-237290578 আইডি সমালোচনামূলক 12L, 13
CVE-2022-20420 A-238377411 ইওপি উচ্চ 13
CVE-2022-20351 এ-224771921 আইডি উচ্চ 10, 11, 12, 12L
CVE-2021-39624 এ-67862680 DoS উচ্চ 11, 12, 12L
CVE-2021-39758 A-205130886 ইওপি পরিমিত 10, 11, 12
CVE-2022-20415 এ-231322873 ইওপি পরিমিত 10, 11, 12, 12L, 13

মিডিয়া ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা স্থানীয় তথ্য প্রকাশের দিকে নিয়ে যেতে পারে যেখানে ব্যবহারকারীর কার্যকরী বিশেষাধিকার প্রয়োজন।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2022-20413 এ-235850634 আইডি উচ্চ 10, 11, 12, 12L, 13
CVE-2022-20418 এ-231986464 আইডি উচ্চ 12, 12L, 13

পদ্ধতি

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা সিস্টেম এক্সিকিউশন বিশেষাধিকারের প্রয়োজনে বিশেষাধিকারের স্থানীয় বৃদ্ধির দিকে নিয়ে যেতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2022-20412 এ-230794395 ইওপি উচ্চ 10, 11, 12, 12L, 13
CVE-2022-20416 এ-237717857 ইওপি উচ্চ 12, 12L, 13
CVE-2022-20417 এ-237288416 ইওপি উচ্চ 12, 12L, 13
CVE-2021-39673 A-195410559 [ 2 ] আইডি উচ্চ 13
CVE-2022-20394 A-204906124 আইডি উচ্চ 10, 11, 12, 12L
CVE-2022-20410 A-205570663 আইডি উচ্চ 10, 11, 12, 12L, 13
CVE-2022-20425 এ-235823407 DoS উচ্চ 10, 11, 12, 12L, 13

গুগল প্লে সিস্টেম আপডেট

এই মাসে Google Play সিস্টেম আপডেটে (প্রজেক্ট মেইনলাইন) কোনো নিরাপত্তা সমস্যা সমাধান করা হয়নি।

2022-10-05 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2022-10-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাগুলি নীচের সারণীতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

কার্নেল

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা বিশেষাধিকারের স্থানীয় বৃদ্ধির দিকে নিয়ে যেতে পারে যেখানে কোনও অতিরিক্ত কার্যকরী সুবিধার প্রয়োজন নেই।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2022-1786 এ-230867044
আপস্ট্রিম কার্নেল [ 2 ]
ইওপি উচ্চ io_uring
CVE-2022-20421 এ-239630375
আপস্ট্রিম কার্নেল
ইওপি উচ্চ বাইন্ডার ড্রাইভার
CVE-2022-20422 এ-237540956
আপস্ট্রিম কার্নেল
ইওপি উচ্চ armv8 অনুকরণ
CVE-2022-20423 এ-239842288
আপস্ট্রিম কার্নেল [ 2 ]
ইওপি উচ্চ ইউএসবি

কার্নেল উপাদান

এই বিভাগে দুর্বলতার কারণে সিস্টেম এক্সিকিউশন সুবিধার প্রয়োজনে বিশেষাধিকারের স্থানীয় বৃদ্ধি হতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2022-20409 এ-238177383
আপস্ট্রিম কার্নেল
ইওপি পরিমিত io_uring

ইমাজিনেশন টেকনোলজিস

এই দুর্বলতাগুলি ইমাজিনেশন টেকনোলজির উপাদানগুলিকে প্রভাবিত করে এবং আরও বিশদ বিবরণ সরাসরি ইমাজিনেশন টেকনোলজিস থেকে পাওয়া যায়। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি কল্পনা প্রযুক্তি দ্বারা সরবরাহ করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা উপাদান
CVE-2021-0696 A-242344778 * উচ্চ পাওয়ারভিআর-জিপিইউ
CVE-2021-0951
A-242345085 * উচ্চ পাওয়ারভিআর-জিপিইউ
CVE-2021-0699 A-242345178 * উচ্চ পাওয়ারভিআর-জিপিইউ

মিডিয়াটেক উপাদান

এই দুর্বলতাগুলি MediaTek উপাদানগুলিকে প্রভাবিত করে এবং আরও বিশদ সরাসরি MediaTek থেকে পাওয়া যায়। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি MediaTek দ্বারা সরবরাহ করা হয়৷

সিভিই তথ্যসূত্র নির্দয়তা উপাদান
CVE-2022-26471 A-234037999
M-ALPS07319121 *
উচ্চ টেলিফোনি
CVE-2022-26472 এ-234037216
M-ALPS07319095 *
উচ্চ ims

UNISOC উপাদান

এই দুর্বলতাগুলি UNISOC উপাদানগুলিকে প্রভাবিত করে এবং আরও বিশদগুলি সরাসরি UNISOC থেকে পাওয়া যায়৷ এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি UNISOC দ্বারা সরবরাহ করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা উপাদান
CVE-2022-20430 এ-242221233
U-1882896 *
উচ্চ টেলিফোনি
CVE-2022-20431 এ-242221238
U-1882896 *
উচ্চ টেলিফোনি
CVE-2022-20432 এ-242221899
U-1882896 *
উচ্চ টেলিফোনি
CVE-2022-20433 এ-242221901
U-1882896 *
উচ্চ টেলিফোনি
CVE-2022-20434 এ-242244028
U-1882896 *
উচ্চ টেলিফোনি
CVE-2022-20435 এ-242248367
U-1901996 *
উচ্চ অ্যান্ড্রয়েড
CVE-2022-20436 এ-242248369
U-1901996 *
উচ্চ অ্যান্ড্রয়েড
CVE-2022-20437 এ-242258929
U-1916307 *
উচ্চ অ্যান্ড্রয়েড
CVE-2022-20438 A-242259920
U-1916307 *
উচ্চ অ্যান্ড্রয়েড
CVE-2022-20439 এ-242266172
U-1916307 *
উচ্চ অ্যান্ড্রয়েড
CVE-2022-20440 এ-242259918
U-1916307 *
উচ্চ অ্যান্ড্রয়েড

কোয়ালকম উপাদান

এই দুর্বলতাগুলি Qualcomm উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা উপাদান
CVE-2022-25720 এ-238214313
QC-CR#3048142
QC-CR#3049634
QC-CR#3051517
QC-CR#3102432
সমালোচনামূলক WLAN
CVE-2022-22077 এ-238108281
QC-CR#3155201
উচ্চ কার্নেল
CVE-2022-25723 এ-238108282
QC-CR#3072203
উচ্চ কার্নেল
CVE-2022-33214 এ-238103940
QC-CR#3178237
উচ্চ প্রদর্শন
CVE-2022-33217 A-238103939
QC-CR#3182864
উচ্চ কার্নেল

কোয়ালকম ক্লোজড সোর্স উপাদান

এই দুর্বলতাগুলি Qualcomm ক্লোজড-সোর্স উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা উপাদান
CVE-2022-25718 A-238106982 * সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-25748 A-238106075 * সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-25660 A-228101818 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-25661 A-228101758 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-25687 A-238106629 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-25736 A-238214356 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-25749 A-238106077 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট

সাধারণ প্রশ্ন এবং উত্তর

এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।

  • 2022-10-01 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2022-10-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করে।
  • 2022-10-05 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2022-10-05 নিরাপত্তা প্যাচ স্তর এবং সমস্ত পূর্ববর্তী প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করে।

এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:

  • [ro.build.version.security_patch]:[2022-10-01]
  • [ro.build.version.security_patch]:[2022-10-05]

Android 10 বা তার পরবর্তী কিছু ডিভাইসের জন্য, Google Play সিস্টেম আপডেটে একটি তারিখের স্ট্রিং থাকবে যা 2022-10-01 নিরাপত্তা প্যাচ স্তরের সাথে মেলে। নিরাপত্তা আপডেট কিভাবে ইনস্টল করতে হয় সে সম্পর্কে আরো বিস্তারিত জানার জন্য অনুগ্রহ করে এই নিবন্ধটি দেখুন।

2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?

এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷

  • যে ডিভাইসগুলি 2022-10-01 সুরক্ষা প্যাচ স্তর ব্যবহার করে সেগুলি অবশ্যই সেই সুরক্ষা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত করতে হবে।
  • যে ডিভাইসগুলি 2022-10-05 বা নতুনের নিরাপত্তা প্যাচ স্তর ব্যবহার করে সেগুলিকে অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।

অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷

3. টাইপ কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ টেবিলের টাইপ কলামের এন্ট্রি নিরাপত্তা দুর্বলতার শ্রেণীবিভাগ উল্লেখ করে।

সংক্ষিপ্ত রূপ সংজ্ঞা
আরসিই রিমোট কোড এক্সিকিউশন
ইওপি বিশেষাধিকারের উচ্চতা
আইডি তথ্য প্রকাশ
DoS সেবা দিতে অস্বীকার করা
N/A শ্রেণীবিভাগ উপলব্ধ নয়

4. রেফারেন্স কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে।

উপসর্গ রেফারেন্স
ক- অ্যান্ড্রয়েড বাগ আইডি
QC- কোয়ালকম রেফারেন্স নম্বর
এম- মিডিয়াটেক রেফারেন্স নম্বর
এন- NVIDIA রেফারেন্স নম্বর
খ- ব্রডকম রেফারেন্স নম্বর
উ- UNISOC রেফারেন্স নম্বর

5. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে একটি * বলতে কী বোঝায়?

যে সমস্যাগুলি সর্বজনীনভাবে উপলব্ধ নয় সেগুলির সংশ্লিষ্ট রেফারেন্স আইডির পাশে একটি * থাকে৷ এই সমস্যার জন্য আপডেটটি সাধারণত Google ডেভেলপার সাইট থেকে উপলব্ধ Pixel ডিভাইসগুলির জন্য সাম্প্রতিক বাইনারি ড্রাইভারগুলিতে থাকে৷

6. কেন এই বুলেটিন এবং ডিভাইস/পার্টনার সিকিউরিটি বুলেটিন, যেমন পিক্সেল বুলেটিন এর মধ্যে নিরাপত্তা দুর্বলতা বিভক্ত?

এই নিরাপত্তা বুলেটিনে নথিভুক্ত নিরাপত্তা দুর্বলতাগুলিকে Android ডিভাইসে সর্বশেষ নিরাপত্তা প্যাচ স্তর ঘোষণা করতে হবে। নিরাপত্তা প্যাচ স্তর ঘোষণা করার জন্য ডিভাইস / অংশীদার নিরাপত্তা বুলেটিনগুলিতে নথিভুক্ত অতিরিক্ত নিরাপত্তা দুর্বলতাগুলির প্রয়োজন নেই৷ অ্যান্ড্রয়েড ডিভাইস এবং চিপসেট নির্মাতারাও তাদের পণ্যগুলির জন্য নির্দিষ্ট নিরাপত্তা দুর্বলতার বিবরণ প্রকাশ করতে পারে, যেমন Google , Huawei , LGE , Motorola , Nokia , বা Samsung

সংস্করণ

সংস্করণ তারিখ মন্তব্য
1.0 3 অক্টোবর, 2022 বুলেটিন প্রকাশিত
1.1 5 অক্টোবর, 2022 AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে