Android নিরাপত্তা বুলেটিন—মে 2024

প্রকাশিত: ৬ মে, ২০২৪

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলোকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতাগুলোর বিবরণ রয়েছে। ২০২৪-০৫-০৫ বা তার পরবর্তী সিকিউরিটি প্যাচ লেভেলগুলো এই সমস্ত সমস্যার সমাধান করে। কোনো ডিভাইসের সিকিউরিটি প্যাচ লেভেল কীভাবে পরীক্ষা করতে হয় তা জানতে, “আপনার অ্যান্ড্রয়েড সংস্করণ পরীক্ষা ও আপডেট করুন” দেখুন।

প্রকাশের অন্তত এক মাস আগে অ্যান্ড্রয়েড পার্টনারদের সমস্ত সমস্যা সম্পর্কে অবহিত করা হয়। এই সমস্যাগুলোর জন্য সোর্স কোড প্যাচগুলো অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) রিপোজিটরিতে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে সেগুলোর লিঙ্ক দেওয়া হয়েছে। এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলোর লিঙ্কও অন্তর্ভুক্ত রয়েছে।

এই সমস্যাগুলোর মধ্যে সবচেয়ে গুরুতর হলো সিস্টেম কম্পোনেন্টের একটি মারাত্মক নিরাপত্তা দুর্বলতা, যার ফলে কোনো অতিরিক্ত এক্সিকিউশন প্রিভিলেজ ছাড়াই স্থানীয়ভাবে প্রিভিলেজ বৃদ্ধি হতে পারে। এই দুর্বলতা কাজে লাগানোর ফলে একটি প্রভাবিত ডিভাইসে কী ধরনের সম্ভাব্য প্রভাব পড়তে পারে, তার উপর ভিত্তি করে এর তীব্রতা নির্ধারণ করা হয়; এক্ষেত্রে ধরে নেওয়া হয় যে ডেভেলপমেন্টের উদ্দেশ্যে প্ল্যাটফর্ম এবং সার্ভিসের প্রতিরোধমূলক ব্যবস্থাগুলো বন্ধ রাখা হয়েছে অথবা সফলভাবে বাইপাস করা হয়েছে।

অ্যান্ড্রয়েড প্ল্যাটফর্মের সুরক্ষা ব্যবস্থা এবং গুগল প্লে প্রোটেক্ট, যা অ্যান্ড্রয়েড প্ল্যাটফর্মের নিরাপত্তা উন্নত করে, সে সম্পর্কে বিস্তারিত জানতে অ্যান্ড্রয়েড এবং গুগল প্লে প্রোটেক্ট প্রশমন বিভাগটি দেখুন।

অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন

এটি অ্যান্ড্রয়েড নিরাপত্তা প্ল্যাটফর্ম এবং গুগল প্লে প্রোটেক্ট- এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত ঝুঁকি প্রশমনের একটি সারসংক্ষেপ। এই সক্ষমতাগুলো অ্যান্ড্রয়েডে নিরাপত্তা দুর্বলতা সফলভাবে কাজে লাগানোর সম্ভাবনা হ্রাস করে।

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণগুলিতে করা উন্নতির ফলে অ্যান্ড্রয়েডের অনেক সমস্যার অপব্যবহার করা আরও কঠিন হয়ে পড়েছে। আমরা সকল ব্যবহারকারীকে, যেখানে সম্ভব, অ্যান্ড্রয়েডের সর্বশেষ সংস্করণে আপডেট করার জন্য উৎসাহিত করি।
  • অ্যান্ড্রয়েড নিরাপত্তা দল গুগল প্লে প্রোটেক্ট-এর মাধ্যমে অপব্যবহারের উপর সক্রিয়ভাবে নজর রাখে এবং সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন (Potentially Harmful Applications) সম্পর্কে ব্যবহারকারীদের সতর্ক করে। গুগল মোবাইল সার্ভিসেস (Google Mobile Services) থাকা ডিভাইসগুলিতে গুগল প্লে প্রোটেক্ট ডিফল্টরূপে সক্রিয় থাকে এবং যারা গুগল প্লে-এর বাইরে থেকে অ্যাপ ইনস্টল করেন, তাদের জন্য এটি বিশেষভাবে গুরুত্বপূর্ণ।

২০২৪-০৫-০১ নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নিচের বিভাগগুলিতে, আমরা 2024-05-01 প্যাচ লেভেলের জন্য প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার বিবরণ প্রদান করেছি। দুর্বলতাগুলিকে তাদের দ্বারা প্রভাবিত উপাদানের অধীনে গোষ্ঠীভুক্ত করা হয়েছে। সমস্যাগুলি নীচের সারণীগুলিতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরণ , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। যখন উপলব্ধ থাকে, আমরা AOSP পরিবর্তন তালিকার মতো বাগ আইডির সাথে সমস্যাটির সমাধানকারী পাবলিক পরিবর্তনটি লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন অতিরিক্ত রেফারেন্সগুলি বাগ আইডির পরে থাকা সংখ্যাগুলির সাথে লিঙ্ক করা হয়। Android 10 এবং তার পরবর্তী সংস্করণযুক্ত ডিভাইসগুলি নিরাপত্তা আপডেটের পাশাপাশি Google Play সিস্টেম আপডেটও পেতে পারে।

কাঠামো

এই অংশের সবচেয়ে গুরুতর দুর্বলতার ফলে কোনো অতিরিক্ত এক্সিকিউশন প্রিভিলেজ ছাড়াই স্থানীয়ভাবে প্রিভিলেজ বৃদ্ধি করা সম্ভব হতে পারে।

সিভিই তথ্যসূত্র প্রকার তীব্রতা আপডেট করা AOSP সংস্করণ
CVE-2024-0024 এ-২৯৩৬০২৩১৭ EoP উচ্চ ১২, ১২এল, ১৩, ১৪
CVE-2024-0025 এ-২৭৯৪২৮২৮৩ EoP উচ্চ ১২, ১২এল, ১৩, ১৪
CVE-2024-23705 এ-২৯৩৬০২৯৭০ EoP উচ্চ ১২, ১২এল, ১৩, ১৪
CVE-2024-23708 এ-২৯৩৩০১৭৩৬ EoP উচ্চ ১২, ১২এল, ১৩, ১৪

সিস্টেম

এই অংশের সবচেয়ে গুরুতর দুর্বলতার ফলে কোনো অতিরিক্ত এক্সিকিউশন প্রিভিলেজ ছাড়াই স্থানীয়ভাবে প্রিভিলেজ বৃদ্ধি করা সম্ভব হতে পারে।

সিভিই তথ্যসূত্র প্রকার তীব্রতা আপডেট করা AOSP সংস্করণ
CVE-2024-23706 এ-৩২৮০৬৮৭৭৭ EoP সমালোচনামূলক ১৪
CVE-2024-0043 এ-২৯৫৫৪৯৩৮৮ EoP উচ্চ ১২, ১২এল, ১৩, ১৪
CVE-2024-23707 এ-৩১৬৮৯১০৫৯ EoP উচ্চ ১৪
CVE-2024-23709 এ-৩১৭৭৮০০৮০ আইডি উচ্চ ১২, ১২এল, ১৩, ১৪

গুগল প্লে সিস্টেম আপডেট

প্রজেক্ট মেইনলাইন কম্পোনেন্টগুলোতে নিম্নলিখিত ইস্যুগুলো অন্তর্ভুক্ত রয়েছে।

উপ-উপাদান সিভিই
স্বাস্থ্য ফিটনেস CVE-2024-23706
মিডিয়া ফ্রেমওয়ার্ক উপাদান CVE-2024-23709
অনুমতি নিয়ন্ত্রক CVE-2024-0043

২০২৪-০৫-০৫ নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নিচের বিভাগগুলিতে, আমরা 2024-05-05 প্যাচ লেভেলের জন্য প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার বিবরণ প্রদান করেছি। দুর্বলতাগুলিকে তাদের দ্বারা প্রভাবিত উপাদানের অধীনে গোষ্ঠীভুক্ত করা হয়েছে। সমস্যাগুলি নীচের সারণিতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরণ , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। যখন উপলব্ধ থাকে, আমরা AOSP পরিবর্তন তালিকার মতো বাগ আইডির সাথে সমস্যাটির সমাধানকারী পাবলিক পরিবর্তনটি লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন অতিরিক্ত রেফারেন্সগুলি বাগ আইডির পরে থাকা সংখ্যাগুলির সাথে লিঙ্ক করা হয়।

কার্নেল

এই অংশের দুর্বলতার কারণে কার্নেলে স্থানীয়ভাবে বিশেষাধিকার বৃদ্ধি ঘটতে পারে, যার জন্য কোনো অতিরিক্ত এক্সিকিউশন প্রিভিলেজের প্রয়োজন হবে না।

সিভিই তথ্যসূত্র প্রকার তীব্রতা উপ-উপাদান
CVE-2023-4622 এ-২৯৯১২৩৫৯৮
আপস্ট্রিম কার্নেল [ 2 ] [ 3 ] [ 4 ]
EoP উচ্চ ইউনিক্স

কার্নেল এলটিএস

নিম্নলিখিত কার্নেল সংস্করণগুলি আপডেট করা হয়েছে। কার্নেল সংস্করণের আপডেট ডিভাইস চালুর সময়কার অ্যান্ড্রয়েড ওএস সংস্করণের উপর নির্ভরশীল।

তথ্যসূত্র অ্যান্ড্রয়েড লঞ্চ সংস্করণ কার্নেল লঞ্চ সংস্করণ সর্বনিম্ন আপডেট সংস্করণ
এ-৩০৪৫৫৪৯২৭ ১২ ৫.৪ ৫.৪.২৫৪
এ-৩০৪৫৬০৮৮৬ ১৩ ৫.১৫ ৫.১৫.১২৩
এ-৩০৪৫৬০৯৭৫ ১২ ৫.১০ ৫.১০.১৮৯
এ-৩০৪৫৬০৯৮৭ ১৩ ৫.১০ ৫.১০.১৮৯
এ-৩০৪৫৬১৪৫৪ ১৪ ৫.১৫ ৫.১৫.১২৩
এ-৩০৪৫৬১৪৫৫ ১৪ ৬.১ ৬.১.৪৩

বাহুর উপাদান

এই দুর্বলতাগুলো Arm-এর উপাদানগুলোকে প্রভাবিত করে এবং এ বিষয়ে আরও বিস্তারিত তথ্য সরাসরি Arm-এর কাছ থেকে পাওয়া যাবে। এই সমস্যাগুলোর তীব্রতার মূল্যায়ন সরাসরি Arm কর্তৃক প্রদান করা হয়।

সিভিই তথ্যসূত্র তীব্রতা উপ-উপাদান
CVE-2023-6363
এ-৩০৩৬৩২০৬৯ * উচ্চ মালি
CVE-2024-1067
এ-৩২৯৫০৬৯০৫ * উচ্চ মালি
CVE-2024-1395
এ-৩২৯৫০৬৯৯১ * উচ্চ মালি

মিডিয়াটেক উপাদান

এই দুর্বলতাগুলো মিডিয়াটেকের উপাদানসমূহকে প্রভাবিত করে এবং এ বিষয়ে আরও বিস্তারিত তথ্য সরাসরি মিডিয়াটেক থেকে পাওয়া যাবে। এই সমস্যাগুলোর তীব্রতার মূল্যায়ন সরাসরি মিডিয়াটেক কর্তৃক প্রদান করা হয়।

সিভিই তথ্যসূত্র তীব্রতা উপ-উপাদান
CVE-2023-32871
এ-৩০৯৩৬৪১৯৩
এম-আলপস০৮৩৫৫৫১৪ *
উচ্চ ডিএ
CVE-2023-32873
এ-৩২৭৯৭২৫৯৭
এম-আলপস০৮৫৮৩৯১৯ *
উচ্চ কীইনস্টল
CVE-2024-20056
এ-৩২৭৯৭৩৮১৮
এম-এএলপিএস০৮৫২৮১৮৫ *
উচ্চ প্রিলোডার
CVE-2024-20057
এ-৩২৭৯৭৩৮১৯
এম-এএলপিএস০৮৫৮৭৮৮১ *
উচ্চ কীইনস্টল

কোয়ালকম উপাদান

এই দুর্বলতাগুলো কোয়ালকমের উপাদানসমূহকে প্রভাবিত করে এবং এগুলোর আরও বিশদ বিবরণ উপযুক্ত কোয়ালকম নিরাপত্তা বুলেটিন বা নিরাপত্তা সতর্কবার্তায় দেওয়া আছে। এই সমস্যাগুলোর তীব্রতার মূল্যায়ন সরাসরি কোয়ালকম কর্তৃক প্রদান করা হয়।

সিভিই তথ্যসূত্র তীব্রতা উপ-উপাদান
CVE-2024-21471
এ-৩১৮৩৯৩৮৪৩
QC-CR#3621168
উচ্চ প্রদর্শন
CVE-2024-21475
এ-৩২৩৯১৯০৭৮
QC-CR#3530093
উচ্চ ভিডিও
CVE-2024-23351
এ-৩২৩৯১৮৭১৪
QC-CR#3650447 [ 2 ]
উচ্চ প্রদর্শন
CVE-2024-23354
এ-৩২৩৯১৯৩২০
QC-CR#3636888 [ 2 ]
উচ্চ প্রদর্শন

কোয়ালকম ক্লোজড-সোর্স উপাদান

এই দুর্বলতাগুলো কোয়ালকমের ক্লোজড-সোর্স উপাদানগুলোকে প্রভাবিত করে এবং এগুলোর আরও বিশদ বিবরণ উপযুক্ত কোয়ালকম নিরাপত্তা বুলেটিন বা নিরাপত্তা সতর্কবার্তায় দেওয়া থাকে। এই সমস্যাগুলোর তীব্রতার মূল্যায়ন সরাসরি কোয়ালকম কর্তৃক প্রদান করা হয়।

সিভিই তথ্যসূত্র তীব্রতা উপ-উপাদান
CVE-2023-33119
এ-৩০৯৪৬১২৫৩ * উচ্চ ক্লোজড-সোর্স উপাদান
CVE-2023-43529
এ-৩০৯৪৬০৪৬৬ * উচ্চ ক্লোজড-সোর্স উপাদান
CVE-2023-43530
এ-৩০৯৪৬১৪৭১ * উচ্চ ক্লোজড-সোর্স উপাদান
CVE-2023-43531
এ-৩০৯৪৬১১৯৮ * উচ্চ ক্লোজড-সোর্স উপাদান
CVE-2024-21477
এ-৩২৩৯১৮৮৭১ * উচ্চ ক্লোজড-সোর্স উপাদান
CVE-2024-21480
এ-৩২৩৯১৮৪৭৫ * উচ্চ ক্লোজড-সোর্স উপাদান

সাধারণ প্রশ্ন ও উত্তর

এই বুলেটিনটি পড়ার পর মনে আসতে পারে এমন সাধারণ প্রশ্নগুলোর উত্তর এই বিভাগে দেওয়া হয়েছে।

১. এই সমস্যাগুলো সমাধানের জন্য আমার ডিভাইসটি আপডেট করা হয়েছে কিনা, তা আমি কীভাবে বুঝব?

ডিভাইসের সিকিউরিটি প্যাচ লেভেল কীভাবে চেক করতে হয় তা জানতে, ‘আপনার অ্যান্ড্রয়েড ভার্সন চেক ও আপডেট করুন’ দেখুন।

  • ২০২৪-০৫-০১ বা তার পরবর্তী নিরাপত্তা প্যাচ লেভেলগুলো ২০২৪-০৫-০১ নিরাপত্তা প্যাচ লেভেলের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।
  • ২০২৪-০৫-০৫ বা তার পরবর্তী নিরাপত্তা প্যাচ লেভেলগুলো ২০২৪-০৫-০৫ নিরাপত্তা প্যাচ লেভেল এবং এর পূর্ববর্তী সকল প্যাচ লেভেলের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।

যেসব ডিভাইস প্রস্তুতকারক এই আপডেটগুলি অন্তর্ভুক্ত করে, তাদের প্যাচ স্ট্রিং লেভেলটি নিম্নরূপে সেট করা উচিত:

  • [ro.build.version.security_patch]:[2024-05-01]
  • [ro.build.version.security_patch]:[2024-05-05]

অ্যান্ড্রয়েড ১০ বা তার পরবর্তী সংস্করণের কিছু ডিভাইসের ক্ষেত্রে, গুগল প্লে সিস্টেম আপডেটে একটি ডেট স্ট্রিং থাকবে যা ২০২৪-০৫-০১ সিকিউরিটি প্যাচ লেভেলের সাথে মিলে যায়। সিকিউরিটি আপডেট কীভাবে ইনস্টল করতে হয় সে সম্পর্কে আরও বিস্তারিত জানতে অনুগ্রহ করে এই আর্টিকেলটি দেখুন।

২. এই বুলেটিনটিতে কেন দুটি নিরাপত্তা প্যাচ লেভেল রয়েছে?

এই বুলেটিনে দুটি নিরাপত্তা প্যাচ লেভেল রয়েছে, যাতে অ্যান্ড্রয়েড পার্টনাররা সমস্ত অ্যান্ড্রয়েড ডিভাইসে একই রকম কিছু দুর্বলতা আরও দ্রুত সমাধান করার সুবিধা পান। অ্যান্ড্রয়েড পার্টনারদের এই বুলেটিনের সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ লেভেল ব্যবহার করতে উৎসাহিত করা হচ্ছে।

  • যেসব ডিভাইস ২০২৪-০৫-০১ নিরাপত্তা প্যাচ লেভেল ব্যবহার করে, সেগুলোতে অবশ্যই সেই নিরাপত্তা প্যাচ লেভেলের সাথে সম্পর্কিত সমস্ত সমস্যার পাশাপাশি পূর্ববর্তী নিরাপত্তা বুলেটিনগুলোতে রিপোর্ট করা সমস্ত সমস্যার সমাধানও অন্তর্ভুক্ত থাকতে হবে।
  • যেসব ডিভাইস ২০২৪-০৫-০৫ বা তার পরবর্তী নিরাপত্তা প্যাচ লেভেল ব্যবহার করে, সেগুলোতে এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনগুলোতে থাকা সমস্ত প্রযোজ্য প্যাচ অবশ্যই অন্তর্ভুক্ত করতে হবে।

অংশীদারদেরকে তাদের সমাধানাধীন সকল সমস্যার সমাধান একটিমাত্র আপডেটে অন্তর্ভুক্ত করতে উৎসাহিত করা হচ্ছে।

৩. 'Type' কলামের এন্ট্রিগুলোর অর্থ কী?

দুর্বলতার বিবরণ সারণির 'টাইপ' কলামের এন্ট্রিগুলো নিরাপত্তা দুর্বলতার শ্রেণিবিভাগকে নির্দেশ করে।

সংক্ষিপ্ত রূপ সংজ্ঞা
আরসিই রিমোট কোড এক্সিকিউশন
EoP বিশেষাধিকারের উন্নতি
আইডি তথ্য প্রকাশ
ডস পরিষেবা প্রদানে অস্বীকৃতি
প্রযোজ্য নয় শ্রেণিবিন্যাস উপলব্ধ নয়

৪. রেফারেন্স কলামের এন্ট্রিগুলোর অর্থ কী?

দুর্বলতার বিবরণ সারণীর 'রেফারেন্স' কলামের অন্তর্ভুক্ত এন্ট্রিগুলিতে একটি প্রিফিক্স থাকতে পারে, যা রেফারেন্স মানটি কোন সংস্থার অন্তর্গত তা শনাক্ত করে।

উপসর্গ রেফারেন্স
এ- অ্যান্ড্রয়েড বাগ আইডি
কিউসি- কোয়ালকম রেফারেন্স নম্বর
এম- মিডিয়াটেক রেফারেন্স নম্বর
এন- এনভিডিয়া রেফারেন্স নম্বর
বি- ব্রডকম রেফারেন্স নম্বর
ইউ- UNISOC রেফারেন্স নম্বর

৫. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে থাকা * চিহ্নটির অর্থ কী?

যে সমস্যাগুলো সর্বজনীনভাবে উপলব্ধ নয়, সেগুলোর সংশ্লিষ্ট রেফারেন্স আইডির পাশে একটি * চিহ্ন থাকে। সেই সমস্যার আপডেটটি সাধারণত গুগল ডেভেলপার সাইট থেকে পাওয়া পিক্সেল ডিভাইসগুলোর জন্য সর্বশেষ বাইনারি ড্রাইভারের মধ্যে অন্তর্ভুক্ত থাকে।

৬. নিরাপত্তা দুর্বলতাগুলো কেন এই বুলেটিন এবং ডিভাইস/পার্টনার নিরাপত্তা বুলেটিন, যেমন পিক্সেল বুলেটিনের মধ্যে বিভক্ত করা হয়েছে?

এই নিরাপত্তা বুলেটিনে নথিভুক্ত নিরাপত্তা দুর্বলতাগুলোর জন্য অ্যান্ড্রয়েড ডিভাইসগুলোতে সর্বশেষ নিরাপত্তা প্যাচ লেভেল ঘোষণা করা আবশ্যক। ডিভাইস/পার্টনার নিরাপত্তা বুলেটিনে নথিভুক্ত অতিরিক্ত নিরাপত্তা দুর্বলতাগুলোর জন্য নিরাপত্তা প্যাচ লেভেল ঘোষণা করার প্রয়োজন নেই। অ্যান্ড্রয়েড ডিভাইস এবং চিপসেট প্রস্তুতকারক, যেমন গুগল , হুয়াওয়ে , এলজিই , মটোরোলা , নোকিয়া বা স্যামসাং , তাদের নিজস্ব পণ্যের জন্য নির্দিষ্ট নিরাপত্তা দুর্বলতার বিবরণও প্রকাশ করতে পারে।

সংস্করণ

সংস্করণ তারিখ নোট
১.০ ৬ মে, ২০২৪ বুলেটিন প্রকাশিত হয়েছে।