Android নিরাপত্তা বুলেটিন—মার্চ 2023

6 মার্চ, 2023 প্রকাশিত | 8 মে, 2023 আপডেট করা হয়েছে

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ 2023-03-05 বা তার পরের নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে। একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।

অ্যান্ড্রয়েড অংশীদারদের প্রকাশনার অন্তত এক মাস আগে সমস্ত সমস্যা সম্পর্কে অবহিত করা হয়। এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল সিস্টেম কম্পোনেন্টে একটি গুরুতর নিরাপত্তা দুর্বলতা যা রিমোট কোড এক্সিকিউশনের দিকে নিয়ে যেতে পারে যার জন্য অতিরিক্ত এক্সিকিউশন সুবিধার প্রয়োজন নেই। শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না। প্ল্যাটফর্ম এবং পরিষেবা প্রশমনগুলি উন্নয়নের উদ্দেশ্যে বন্ধ করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

Android সিকিউরিটি প্ল্যাটফর্ম সুরক্ষা এবং Google Play Protect সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google Play Protect প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে।

অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং পরিষেবা সুরক্ষা যেমন Google Play Protect দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android নিরাপত্তা দল সক্রিয়ভাবে Google Play Protect-এর মাধ্যমে অপব্যবহারের জন্য নজরদারি করে এবং ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে। Google Play Protect ডিফল্টরূপে Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে সক্রিয় থাকে এবং বিশেষত সেই ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপগুলি ইনস্টল করেন৷

2023-03-01 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নীচের বিভাগগুলিতে, আমরা 2023-03-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাগুলি নীচের সারণীতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়। Android 10 এবং তার পরের ডিভাইসগুলি নিরাপত্তা আপডেটের পাশাপাশি Google Play সিস্টেম আপডেট পেতে পারে।

ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা কোনো অতিরিক্ত কার্যকরী সুবিধার প্রয়োজন ছাড়াই একটি উচ্চতর টার্গেট SDK-তে একটি অ্যাপ আপডেট করার পরে বিশেষাধিকারের স্থানীয় বৃদ্ধির দিকে নিয়ে যেতে পারে। শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2023-20906 এ-221040577 ইওপি উচ্চ 11, 12, 12L, 13
CVE-2023-20911 A-242537498 ইওপি উচ্চ 11, 12, 12L, 13
CVE-2023-20917 A-242605257 [ 2 ] ইওপি উচ্চ 11, 12, 12L, 13
CVE-2023-20947 A-237405974 ইওপি উচ্চ 12, 12L, 13
CVE-2023-20963 এ-220302519 ইওপি উচ্চ 11, 12, 12L, 13
CVE-2023-20956 এ-240140929 আইডি উচ্চ 12, 12L, 13
CVE-2023-20958 এ-254803162 আইডি উচ্চ 13
CVE-2023-20964 A-238177121 [ 2 ] DoS উচ্চ 12, 12L, 13

পদ্ধতি

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা কোন অতিরিক্ত মৃত্যুদন্ড বিশেষাধিকার প্রয়োজন ছাড়া দূরবর্তী কোড নির্বাহ হতে পারে. শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2023-20951 এ-258652631 আরসিই সমালোচনামূলক 11, 12, 12L, 13
CVE-2023-20954 এ-261867748 আরসিই সমালোচনামূলক 11, 12, 12L, 13
CVE-2023-20926 এ-253043058 ইওপি উচ্চ 12, 12L, 13
CVE-2023-20931 A-242535997 ইওপি উচ্চ 11, 12, 12L, 13
CVE-2023-20936 এ-226927612 ইওপি উচ্চ 11, 12, 12L, 13
CVE-2023-20953 এ-251778420 ইওপি উচ্চ 13
CVE-2023-20955 এ-258653813 ইওপি উচ্চ 11, 12, 12L, 13
CVE-2023-20957 এ-258422561 ইওপি উচ্চ 11, 12, 12L
CVE-2023-20959 এ-249057848 ইওপি উচ্চ 13
CVE-2023-20960 A-250589026 [ 2 ] [ 3 ] ইওপি উচ্চ 12L, 13
CVE-2023-20966 এ-242299736 ইওপি উচ্চ 11, 12, 12L, 13
CVE-2022-4452 এ-251802307 আইডি উচ্চ 13
CVE-2022-20467 এ-225880741 আইডি উচ্চ 11, 12, 12L, 13
CVE-2023-20929 এ-234442700 আইডি উচ্চ 13
CVE-2023-20952 এ-186803518 আইডি উচ্চ 11, 12, 12L, 13
CVE-2023-20962 এ-256590210 আইডি উচ্চ 13
CVE-2022-20499 A-246539931 DoS উচ্চ 12, 12L, 13

গুগল প্লে সিস্টেম আপডেট

নিম্নলিখিত সমস্যাগুলি প্রজেক্ট মেইনলাইন উপাদানগুলিতে অন্তর্ভুক্ত করা হয়েছে।

সাবকম্পোনেন্ট সিভিই
মিডিয়া কোডেক CVE-2023-20956
অনুমতি নিয়ন্ত্রক CVE-2023-20947
টিথারিং CVE-2023-20929
ওয়াইফাই CVE-2022-20499

2023-03-05 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2023-03-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাগুলি নীচের সারণীতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

কার্নেল

এই বিভাগে দুর্বলতা স্থানীয় তথ্য প্রকাশের দিকে নিয়ে যেতে পারে যেখানে অতিরিক্ত কার্যকরী সুবিধার প্রয়োজন নেই। শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা সাবকম্পোনেন্ট
CVE-2021-33655 A-240019719
আপস্ট্রিম কার্নেল [ 2 ] [ 3 ]
ইওপি উচ্চ ফ্রেম বাফার

মিডিয়াটেক উপাদান

এই দুর্বলতাগুলি MediaTek উপাদানগুলিকে প্রভাবিত করে এবং আরও বিশদ সরাসরি MediaTek থেকে পাওয়া যায়। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি MediaTek দ্বারা সরবরাহ করা হয়৷

সিভিই তথ্যসূত্র নির্দয়তা সাবকম্পোনেন্ট
CVE-2023-20620 এ-264149248
M-ALPS07554558 *
উচ্চ adsp
CVE-2023-20621 এ-264208866
M-ALPS07664755 *
উচ্চ টিনিসিস
CVE-2023-20623 এ-264209787
M-ALPS07559778 *
উচ্চ আয়ন

Unisoc উপাদান

এই দুর্বলতাগুলি Unisoc উপাদানগুলিকে প্রভাবিত করে এবং আরও বিবরণ সরাসরি Unisoc থেকে পাওয়া যায়। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Unisoc দ্বারা সরবরাহ করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা সাবকম্পোনেন্ট
CVE-2022-47459 এ-264598465
U-2032124 *
উচ্চ কার্নেল
CVE-2022-47461 এ-264834026
U-2066617 *
উচ্চ পদ্ধতি
CVE-2022-47462 এ-264834568
U-2066754 *
উচ্চ পদ্ধতি
CVE-2022-47460 এ-264831217
U-2044606 *
উচ্চ কার্নেল

কোয়ালকম উপাদান

এই দুর্বলতাগুলি Qualcomm উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা সাবকম্পোনেন্ট
CVE-2022-22075 এ-193434313
QC-CR#3129138
QC-CR#3112398 [ 2 ] [ 3 ]
উচ্চ প্রদর্শন
CVE-2022-40537 এ-261468700
QC-CR#3278869 [ 2 ] [ 3 ] [ 4 ]
উচ্চ ব্লুটুথ
CVE-2022-40540 এ-261470730
QC-CR#3280498
উচ্চ কার্নেল

কোয়ালকম ক্লোজড সোর্স উপাদান

এই দুর্বলতাগুলি Qualcomm ক্লোজড-সোর্স উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা সাবকম্পোনেন্ট
CVE-2022-33213 A-238106224 * সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-33256 A-245402790 * সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-25655 A-261469326 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-25694 A-235102547 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-25705 A-235102507 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-25709 A-235102420 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-33242 A-245402503 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-33244 A-245402728 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-33250 A-245403450 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-33254 A-245403473 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-33272 A-245403311 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-33278
A-245402730 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-33309 A-261468683 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-40515 A-261469638 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-40527 A-261470448 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-40530 A-261471028 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-40531 A-261469091 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2022-40535 A-261470732 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট

সাধারণ প্রশ্ন এবং উত্তর

এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।

  • 2023-03-01 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2023-03-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করে।
  • 2023-03-05 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2023-03-05 নিরাপত্তা প্যাচ স্তর এবং সমস্ত পূর্ববর্তী প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করে।

এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:

  • [ro.build.version.security_patch]:[2023-03-01]
  • [ro.build.version.security_patch]:[2023-03-05]

Android 10 বা তার পরবর্তী কিছু ডিভাইসের জন্য, Google Play সিস্টেম আপডেটে একটি তারিখের স্ট্রিং থাকবে যা 2023-03-01 নিরাপত্তা প্যাচ স্তরের সাথে মেলে। নিরাপত্তা আপডেট কিভাবে ইনস্টল করতে হয় সে সম্পর্কে আরো বিস্তারিত জানার জন্য অনুগ্রহ করে এই নিবন্ধটি দেখুন।

2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?

এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷

  • যে ডিভাইসগুলি 2023-03-01 সুরক্ষা প্যাচ স্তর ব্যবহার করে সেগুলি অবশ্যই সেই সুরক্ষা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা অন্তর্ভুক্ত করতে হবে, সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধানগুলি অন্তর্ভুক্ত করতে হবে৷
  • যে ডিভাইসগুলি 2023-03-05 এর নিরাপত্তা প্যাচ লেভেল ব্যবহার করে বা তার থেকে নতুন তাদের অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।

অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷

3. টাইপ কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ টেবিলের টাইপ কলামের এন্ট্রি নিরাপত্তা দুর্বলতার শ্রেণীবিভাগ উল্লেখ করে।

সংক্ষিপ্ত রূপ সংজ্ঞা
আরসিই রিমোট কোড এক্সিকিউশন
ইওপি বিশেষাধিকারের উচ্চতা
আইডি তথ্য প্রকাশ
DoS সেবা দিতে অস্বীকার করা
N/A শ্রেণীবিভাগ উপলব্ধ নয়

4. রেফারেন্স কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে।

উপসর্গ রেফারেন্স
ক- অ্যান্ড্রয়েড বাগ আইডি
QC- কোয়ালকম রেফারেন্স নম্বর
এম- মিডিয়াটেক রেফারেন্স নম্বর
এন- NVIDIA রেফারেন্স নম্বর
খ- ব্রডকম রেফারেন্স নম্বর
উ- UNISOC রেফারেন্স নম্বর

5. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে একটি * বলতে কী বোঝায়?

যে সমস্যাগুলি সর্বজনীনভাবে উপলব্ধ নয় সেগুলির সংশ্লিষ্ট রেফারেন্স আইডির পাশে একটি * থাকে৷ এই সমস্যার জন্য আপডেটটি সাধারণত Google ডেভেলপার সাইট থেকে উপলব্ধ Pixel ডিভাইসগুলির জন্য সাম্প্রতিক বাইনারি ড্রাইভারগুলিতে থাকে৷

6. কেন এই বুলেটিন এবং ডিভাইস/পার্টনার সিকিউরিটি বুলেটিন, যেমন পিক্সেল বুলেটিন এর মধ্যে নিরাপত্তা দুর্বলতা বিভক্ত?

এই নিরাপত্তা বুলেটিনে নথিভুক্ত নিরাপত্তা দুর্বলতাগুলিকে Android ডিভাইসে সর্বশেষ নিরাপত্তা প্যাচ স্তর ঘোষণা করতে হবে। নিরাপত্তা প্যাচ স্তর ঘোষণা করার জন্য ডিভাইস / অংশীদার নিরাপত্তা বুলেটিনগুলিতে নথিভুক্ত অতিরিক্ত নিরাপত্তা দুর্বলতাগুলির প্রয়োজন নেই৷ অ্যান্ড্রয়েড ডিভাইস এবং চিপসেট নির্মাতারাও তাদের পণ্যগুলির জন্য নির্দিষ্ট নিরাপত্তা দুর্বলতার বিবরণ প্রকাশ করতে পারে, যেমন Google , Huawei , LGE , Motorola , Nokia , বা Samsung

সংস্করণ

সংস্করণ তারিখ মন্তব্য
1.0 6 মার্চ, 2023 বুলেটিন প্রকাশিত
1.1 8 মার্চ, 2023 AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে
2.0 8 মে, 2023 সংশোধিত CVE টেবিল