Android নিরাপত্তা বুলেটিন—আগস্ট 2023

7 আগস্ট, 2023 প্রকাশিত | 14 সেপ্টেম্বর, 2023 আপডেট করা হয়েছে

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ 2023-08-05 বা তার পরের নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে। একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।

অ্যান্ড্রয়েড অংশীদারদের প্রকাশনার অন্তত এক মাস আগে সমস্ত সমস্যা সম্পর্কে অবহিত করা হয়। এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল সিস্টেম কম্পোনেন্টের একটি গুরুতর নিরাপত্তা দুর্বলতা যা দূরবর্তী (প্রক্সিমাল/সংলগ্ন) কোড এক্সিকিউশনের দিকে নিয়ে যেতে পারে যাতে কোন অতিরিক্ত এক্সিকিউশন সুবিধার প্রয়োজন নেই। শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না। প্ল্যাটফর্ম এবং পরিষেবা প্রশমনগুলি উন্নয়নের উদ্দেশ্যে বন্ধ করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

Android সিকিউরিটি প্ল্যাটফর্ম সুরক্ষা এবং Google Play Protect সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google Play Protect প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে।

অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং পরিষেবা সুরক্ষা যেমন Google Play Protect দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android নিরাপত্তা দল সক্রিয়ভাবে Google Play Protect-এর মাধ্যমে অপব্যবহারের জন্য নজরদারি করে এবং ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে। Google Play Protect ডিফল্টরূপে Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে সক্রিয় থাকে এবং বিশেষত সেই ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপগুলি ইনস্টল করেন৷

2023-08-01 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নীচের বিভাগগুলিতে, আমরা 2023-08-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাগুলি নীচের সারণীতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়। Android 10 এবং তার পরের ডিভাইসগুলি নিরাপত্তা আপডেটের পাশাপাশি Google Play সিস্টেম আপডেট পেতে পারে।

অ্যান্ড্রয়েড রানটাইম

এই বিভাগে দুর্বলতা কোন অতিরিক্ত মৃত্যুদন্ড বিশেষাধিকার প্রয়োজন ছাড়া দূরবর্তী তথ্য প্রকাশ হতে পারে. শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না।
সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2023-21265 এ-262521447 আইডি উচ্চ 11, 12, 12L, 13

ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা কোন অতিরিক্ত মৃত্যুদন্ড বিশেষাধিকার প্রয়োজন ছাড়া দূরবর্তী কোড নির্বাহ হতে পারে. শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না।
সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2023-21287 এ-278221085 আরসিই উচ্চ 11, 12, 12L, 13
CVE-2023-21269 এ-271576718 ইওপি উচ্চ 13
CVE-2023-21270 এ-২৮৩০০৬৪৩৭ [ ] ইওপি উচ্চ 12, 12L, 13
CVE-2023-21272 এ-227471459 ইওপি উচ্চ 11, 12, 12L
CVE-2023-21278 এ-281807669 ইওপি উচ্চ 12, 12L, 13
CVE-2023-21281 এ-265431505 ইওপি উচ্চ 11, 12, 12L, 13
CVE-2023-21286 এ-277740082 ইওপি উচ্চ 11, 12, 12L, 13
CVE-2023-21276 এ-213170822 আইডি উচ্চ 12, 12L, 13
CVE-2023-21277 এ-281018094 আইডি উচ্চ 12, 12L, 13
CVE-2023-21279 এ-277741109 আইডি উচ্চ 12, 12L, 13
CVE-2023-21283 A-280797684 [ 2 ] আইডি উচ্চ 11, 12, 12L, 13
CVE-2023-21288 এ-276294099 আইডি উচ্চ 11, 12, 12L, 13
CVE-2023-21289 এ-272020068 আইডি উচ্চ 11, 12, 12L, 13
CVE-2023-21292 এ-236688380 আইডি উচ্চ 11, 12, 12L, 13
CVE-2023-21280 এ-270049379 DoS উচ্চ 12, 12L, 13
CVE-2023-21284 এ-260729089 DoS উচ্চ 11, 12, 12L, 13

মিডিয়া ফ্রেমওয়ার্ক

এই বিভাগে দুর্বলতা কোন অতিরিক্ত মৃত্যুদন্ড বিশেষাধিকার প্রয়োজন ছাড়া দূরবর্তী কোড নির্বাহ হতে পারে. শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন।
সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2023-21282 এ-279766766 আরসিই সমালোচনামূলক 11, 12, 12L, 13

পদ্ধতি

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা দূরবর্তী (প্রক্সিমাল/সংলগ্ন) কোড এক্সিকিউশনের দিকে নিয়ে যেতে পারে যার কোনো অতিরিক্ত এক্সিকিউশন সুবিধার প্রয়োজন নেই। শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না।
সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2023-21273 এ-272783039 আরসিই সমালোচনামূলক 11, 12, 12L, 13
CVE-2023-20965 A-250574778 [ 2 ] [ 3 ] ইওপি উচ্চ 13
CVE-2023-21132 এ-253043218 ইওপি উচ্চ 12, 12L, 13
CVE-2023-21133 এ-253043502 ইওপি উচ্চ 12, 12L, 13
CVE-2023-21134 এ-253043495 ইওপি উচ্চ 12, 12L, 13
CVE-2023-21140 এ-253043490 ইওপি উচ্চ 12, 12L, 13
CVE-2023-21242 এ-277824547 ইওপি উচ্চ 13
CVE-2023-21275 এ-278691965 ইওপি উচ্চ 12, 12L, 13
CVE-2023-21271 এ-269455813 আইডি উচ্চ 12, 12L, 13
CVE-2023-21274 এ-269456018 আইডি উচ্চ 12, 12L, 13
CVE-2023-21285 এ-271851153 আইডি উচ্চ 11, 12, 12L, 13
CVE-2023-21268 এ-264880895 DoS উচ্চ 11, 12, 12L, 13
CVE-2023-21290 এ-264880689 DoS উচ্চ 11, 12, 12L, 13

গুগল প্লে সিস্টেম আপডেট

নিম্নলিখিত সমস্যাগুলি প্রজেক্ট মেইনলাইন উপাদানগুলিতে অন্তর্ভুক্ত করা হয়েছে।

সাবকম্পোনেন্ট সিভিই
মিডিয়া কোডেক CVE-2023-21282
অনুমতি নিয়ন্ত্রক CVE-2023-21132, CVE-2023-21133, CVE-2023-21134, CVE-2023-21140
ওয়াইফাই CVE-2023-20965, CVE-2023-21242

2023-08-05 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নীচের বিভাগগুলিতে, আমরা 2023-08-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাগুলি নীচের সারণীতে বর্ণনা করা হয়েছে এবং এতে CVE আইডি, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

কার্নেল

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা সিস্টেম এক্সিকিউশন বিশেষাধিকারের প্রয়োজনে বিশেষাধিকারের স্থানীয় বৃদ্ধির দিকে নিয়ে যেতে পারে। শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না।
সিভিই তথ্যসূত্র টাইপ নির্দয়তা সাবকম্পোনেন্ট
CVE-2023-21264 এ-279739439
আপস্ট্রিম কার্নেল [ 2 ]
ইওপি সমালোচনামূলক কেভিএম
CVE-2020-29374 এ-174737879
আপস্ট্রিম কার্নেল [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ]
ইওপি উচ্চ গাভী

আর্ম উপাদান

এই দুর্বলতা আর্ম উপাদানগুলিকে প্রভাবিত করে এবং আরও বিশদ সরাসরি আর্ম থেকে পাওয়া যায়। এই সমস্যার তীব্রতার মূল্যায়ন সরাসরি আর্ম দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা সাবকম্পোনেন্ট
CVE-2022-34830
A-227655299 * উচ্চ মালি

মিডিয়াটেক উপাদান

এই দুর্বলতা MediaTek উপাদানগুলিকে প্রভাবিত করে এবং আরও বিশদ সরাসরি MediaTek থেকে পাওয়া যায়। এই সমস্যার তীব্রতা মূল্যায়ন সরাসরি MediaTek দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা সাবকম্পোনেন্ট
CVE-2023-20780
এ-285686353
M-ALPS08017756 *
উচ্চ কী-ইন্সটল

কোয়ালকম ক্লোজড সোর্স উপাদান

এই দুর্বলতাগুলি Qualcomm ক্লোজড-সোর্স উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা সাবকম্পোনেন্ট
CVE-2022-40510
A-268059589 * সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2023-21626
A-268060065 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2023-22666
A-280342037 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2023-28537
A-280341737 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2023-28555
A-280342401 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট

সাধারণ প্রশ্ন এবং উত্তর

এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।

  • 2023-08-01 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2023-08-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।
  • 2023-08-05 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2023-08-05 নিরাপত্তা প্যাচ স্তর এবং পূর্ববর্তী সমস্ত প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করে।

এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত:

  • [ro.build.version.security_patch]:[2023-08-01]
  • [ro.build.version.security_patch]:[2023-08-05]

Android 10 বা তার পরবর্তী কিছু ডিভাইসের জন্য, Google Play সিস্টেম আপডেটে একটি তারিখের স্ট্রিং থাকবে যা 2023-08-01 নিরাপত্তা প্যাচ স্তরের সাথে মেলে। নিরাপত্তা আপডেট কিভাবে ইনস্টল করতে হয় সে সম্পর্কে আরো বিস্তারিত জানার জন্য অনুগ্রহ করে এই নিবন্ধটি দেখুন।

2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?

এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷

  • যে ডিভাইসগুলি 2023-08-01 সুরক্ষা প্যাচ স্তর ব্যবহার করে সেগুলি অবশ্যই সেই সুরক্ষা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত করতে হবে।
  • যে ডিভাইসগুলি 2023-08-05-এর নিরাপত্তা প্যাচ স্তর ব্যবহার করে বা নতুন সেগুলিকে অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।

অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷

3. টাইপ কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ টেবিলের টাইপ কলামের এন্ট্রি নিরাপত্তা দুর্বলতার শ্রেণীবিভাগ উল্লেখ করে।

সংক্ষিপ্ত রূপ সংজ্ঞা
আরসিই রিমোট কোড এক্সিকিউশন
ইওপি বিশেষাধিকারের উচ্চতা
আইডি তথ্য প্রকাশ
DoS সেবা দিতে অস্বীকার করা
N/A শ্রেণীবিভাগ উপলব্ধ নয়

4. রেফারেন্স কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে।

উপসর্গ রেফারেন্স
ক- অ্যান্ড্রয়েড বাগ আইডি
QC- কোয়ালকম রেফারেন্স নম্বর
এম- মিডিয়াটেক রেফারেন্স নম্বর
এন- NVIDIA রেফারেন্স নম্বর
খ- ব্রডকম রেফারেন্স নম্বর
উ- UNISOC রেফারেন্স নম্বর

5. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে একটি * বলতে কী বোঝায়?

যে সমস্ত সমস্যাগুলি সর্বজনীনভাবে উপলব্ধ নয় সেগুলির সংশ্লিষ্ট রেফারেন্স আইডির পাশে একটি * থাকে৷ এই সমস্যার জন্য আপডেটটি সাধারণত Google ডেভেলপার সাইট থেকে উপলব্ধ Pixel ডিভাইসগুলির জন্য সাম্প্রতিক বাইনারি ড্রাইভারগুলিতে থাকে৷

6. কেন এই বুলেটিন এবং ডিভাইস/পার্টনার সিকিউরিটি বুলেটিন, যেমন পিক্সেল বুলেটিন এর মধ্যে নিরাপত্তা দুর্বলতা বিভক্ত?

এই নিরাপত্তা বুলেটিনে নথিভুক্ত নিরাপত্তা দুর্বলতাগুলিকে Android ডিভাইসে সর্বশেষ নিরাপত্তা প্যাচ স্তর ঘোষণা করতে হবে। নিরাপত্তা প্যাচ স্তর ঘোষণা করার জন্য ডিভাইস / অংশীদার নিরাপত্তা বুলেটিনগুলিতে নথিভুক্ত অতিরিক্ত নিরাপত্তা দুর্বলতাগুলির প্রয়োজন নেই৷ অ্যান্ড্রয়েড ডিভাইস এবং চিপসেট নির্মাতারাও তাদের পণ্যগুলির জন্য নির্দিষ্ট নিরাপত্তা দুর্বলতার বিবরণ প্রকাশ করতে পারে, যেমন Google , Huawei , LGE , Motorola , Nokia , বা Samsung

সংস্করণ

সংস্করণ তারিখ মন্তব্য
1.0 7 আগস্ট, 2023 বুলেটিন প্রকাশিত হয়েছে
2.0 14 সেপ্টেম্বর, 2023 সংশোধিত CVE টেবিল