এই অ্যান্ড্রয়েড সিকিউরিটি রিলিজ নোটে অ্যান্ড্রয়েড ডিভাইসগুলোকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতাগুলোর বিবরণ রয়েছে, যেগুলো অ্যান্ড্রয়েড ১৩-এর অংশ হিসেবে সমাধান করা হয়েছে। ২০২২-০৯-০১ বা তার পরবর্তী সিকিউরিটি প্যাচ লেভেলের অ্যান্ড্রয়েড ১৩ ডিভাইসগুলো এই সমস্যাগুলো থেকে সুরক্ষিত (AOSP-তে প্রকাশিত অ্যান্ড্রয়েড ১৩-এর ডিফল্ট সিকিউরিটি প্যাচ লেভেল হবে ২০২২-০৯-০১)। কোনো ডিভাইসের সিকিউরিটি প্যাচ লেভেল কীভাবে পরীক্ষা করতে হয় তা জানতে, আপনার অ্যান্ড্রয়েড সংস্করণ পরীক্ষা ও আপডেট করুন দেখুন।
প্রকাশের পূর্বে অ্যান্ড্রয়েড পার্টনারদের সকল সমস্যা সম্পর্কে অবহিত করা হয়। এই সমস্যাগুলোর জন্য সোর্স কোড প্যাচগুলো অ্যান্ড্রয়েড ১৩ রিলিজের অংশ হিসেবে অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) রিপোজিটরিতে প্রকাশ করা হবে।
এই রিলিজ নোটগুলিতে সমস্যাগুলির তীব্রতা মূল্যায়ন করা হয়েছে এই ধারণার উপর ভিত্তি করে যে, দুর্বলতাটি কাজে লাগালে একটি প্রভাবিত ডিভাইসে কী সম্ভাব্য প্রভাব পড়তে পারে; এক্ষেত্রে ধরে নেওয়া হয় যে, ডেভেলপমেন্টের উদ্দেশ্যে প্ল্যাটফর্ম এবং পরিষেবার প্রতিরোধমূলক ব্যবস্থাগুলি বন্ধ রাখা হয়েছে অথবা সফলভাবে বাইপাস করা হয়েছে।
এই নতুন রিপোর্ট করা সমস্যাগুলোর সক্রিয় গ্রাহক শোষণ বা অপব্যবহারের কোনো খবর আমরা পাইনি। অ্যান্ড্রয়েড প্ল্যাটফর্মের সুরক্ষা ব্যবস্থা এবং গুগল প্লে প্রোটেক্ট, যা অ্যান্ড্রয়েড প্ল্যাটফর্মের নিরাপত্তা উন্নত করে, সে সম্পর্কে বিস্তারিত জানতে অ্যান্ড্রয়েড এবং গুগল প্লে প্রোটেক্ট প্রশমন বিভাগটি দেখুন।
ঘোষণা
- এই নথিতে বর্ণিত সমস্যাগুলো অ্যান্ড্রয়েড ১৩-এর অংশ হিসেবে সমাধান করা হয়েছে। এই তথ্যটি তথ্যসূত্র ও স্বচ্ছতার জন্য প্রদান করা হলো।
- অ্যান্ড্রয়েড ইকোসিস্টেমকে সুরক্ষিত করার ক্ষেত্রে নিরাপত্তা গবেষণা সম্প্রদায়ের নিরন্তর অবদানের জন্য আমরা তাঁদের প্রতি কৃতজ্ঞতা ও ধন্যবাদ জ্ঞাপন করছি।
অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন
এটি অ্যান্ড্রয়েড নিরাপত্তা প্ল্যাটফর্ম এবং গুগল প্লে প্রোটেক্ট- এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত ঝুঁকি প্রশমনের একটি সারসংক্ষেপ। এই সক্ষমতাগুলো অ্যান্ড্রয়েডে নিরাপত্তা দুর্বলতা সফলভাবে কাজে লাগানোর সম্ভাবনা হ্রাস করে।
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণগুলিতে করা উন্নতির ফলে অ্যান্ড্রয়েডের অনেক সমস্যার অপব্যবহার করা আরও কঠিন হয়ে পড়েছে। আমরা সকল ব্যবহারকারীকে, যেখানে সম্ভব, অ্যান্ড্রয়েডের সর্বশেষ সংস্করণে আপডেট করার জন্য উৎসাহিত করি।
- অ্যান্ড্রয়েড নিরাপত্তা দল গুগল প্লে প্রোটেক্ট-এর মাধ্যমে অপব্যবহারের উপর সক্রিয়ভাবে নজর রাখে এবং সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন (Potentially Harmful Applications) সম্পর্কে ব্যবহারকারীদের সতর্ক করে। গুগল মোবাইল সার্ভিসেস (Google Mobile Services) থাকা ডিভাইসগুলিতে গুগল প্লে প্রোটেক্ট ডিফল্টরূপে সক্রিয় থাকে এবং যারা গুগল প্লে-এর বাইরে থেকে অ্যাপ ইনস্টল করেন, তাদের জন্য এটি বিশেষভাবে গুরুত্বপূর্ণ।
অ্যান্ড্রয়েড ১৩ দুর্বলতার বিবরণ
নিচের বিভাগগুলিতে অ্যান্ড্রয়েড ১৩-এর অংশ হিসেবে সমাধান করা নিরাপত্তা দুর্বলতাগুলির বিশদ বিবরণ দেওয়া হয়েছে। দুর্বলতাগুলিকে যে কম্পোনেন্টকে প্রভাবিত করে তার অধীনে শ্রেণীবদ্ধ করা হয়েছে এবং এতে CVE, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরণ এবং তীব্রতার মতো বিবরণ অন্তর্ভুক্ত রয়েছে।
অ্যান্ড্রয়েড রানটাইম
| সিভিই | তথ্যসূত্র | প্রকার | তীব্রতা |
|---|---|---|---|
| CVE-2013-0340 | এ-২৪৯০১২৭৬ | ডস | মাঝারি |
কাঠামো
| সিভিই | তথ্যসূত্র | প্রকার | তীব্রতা |
|---|---|---|---|
| CVE-2022-20266 | এ-২১১৭৫৭৩৪৮ | EoP | উচ্চ |
| CVE-2022-20301 | এ-২০০৯৫৬৬১৪ | EoP | উচ্চ |
| CVE-2022-20305 | এ-১৯৯৭৫১৬২৩ | EoP | উচ্চ |
| CVE-2022-20443 | এ-১৯৪৪৮০৯৯১ | EoP | উচ্চ |
| CVE-2022-20270 | এ-২০৯০০৫০২৩ | আইডি | উচ্চ |
| CVE-2022-20294 | এ-২০২১৬০৭০৫ | আইডি | উচ্চ |
| CVE-2022-20295 | এ-২০২১৬০৫৮৪ | আইডি | উচ্চ |
| CVE-2022-20296 | এ-২০১৭৯৪৩০৩ | আইডি | উচ্চ |
| CVE-2022-20298 | এ-২০১৪১৬১৮২ | আইডি | উচ্চ |
| CVE-2022-20299 | এ-২০১৪১৫৮৯৫ | আইডি | উচ্চ |
| CVE-2022-20300 | এ-২০০৯৫৬৫৮৮ | আইডি | উচ্চ |
| CVE-2022-20303 | এ-২০০৫৭৩০২১ | আইডি | উচ্চ |
| CVE-2022-20304 | এ-১৯৯৭৫১৯১৯ | আইডি | উচ্চ |
| CVE-2022-20260 | এ-২২০৮৬৫৬৯৮ | ডস | উচ্চ |
| CVE-2022-20246 | এ-২৩০৪৯৩১৯১ | EoP | মাঝারি |
| CVE-2022-20250 | এ-২২৬১৩৪০৯৫ | EoP | মাঝারি |
| CVE-2022-20255 | এ-২২২৬৮৭২১৭ | EoP | মাঝারি |
| CVE-2022-20268 | এ-২১০৪৬৮৮৩৬ | EoP | মাঝারি |
| CVE-2022-20271 | এ-২০৭৬৭২৬৩৫ | EoP | মাঝারি |
| CVE-2022-20278 | এ-২০৫১৩০১১৩ | EoP | মাঝারি |
| CVE-2022-20281 | এ-২০৪০৮৩৯৬৭ | EoP | মাঝারি |
| CVE-2022-20282 | এ-২০৪০৮৩১০৪ | EoP | মাঝারি |
| CVE-2022-20312 | এ-১৯২২৪৪৯২৫ | EoP | মাঝারি |
| CVE-2022-20331 | এ-১৮১৭৮৫৫৫৭ | EoP | মাঝারি |
| CVE-2021-0734 | এ-১৮৯১২২৯১১ | আইডি | মাঝারি |
| CVE-2021-0735 | এ-১৮৮৯১৩০৫৬ | আইডি | মাঝারি |
| CVE-2021-0975 | এ-১৮০১০৪২৭৩ | আইডি | মাঝারি |
| CVE-2022-20243 | এ-১৯০১৯৯৯৮৬ | আইডি | মাঝারি |
| CVE-2022-20249 | এ-২২৬৯০০৮৬১ | আইডি | মাঝারি |
| CVE-2022-20252 | এ-২২৪৫৪৭৫৮৪ | আইডি | মাঝারি |
| CVE-2022-20262 | এ-২১৮৩৩৮৪৫৩ | আইডি | মাঝারি |
| CVE-2022-20263 | এ-২১৭৯৩৫২৬৪ | আইডি | মাঝারি |
| CVE-2022-20272 | এ-২০৭৬৭২৫৬৮ | আইডি | মাঝারি |
| CVE-2022-20275 | এ-২০৫৮৩৬৯৭৫ | আইডি | মাঝারি |
| CVE-2022-20276 | এ-২০৫৭০৬৭৩১ | আইডি | মাঝারি |
| CVE-2022-20277 | এ-২০৫১৪৫৪৯৭ | আইডি | মাঝারি |
| CVE-2022-20279 | এ-২০৪৮৭৭৩০২ | আইডি | মাঝারি |
| CVE-2022-20285 | এ-২৩০৮৬৮১০৮ | আইডি | মাঝারি |
| CVE-2022-20287 | এ-২০৪০৮২৭৮৪ | আইডি | মাঝারি |
| CVE-2022-20288 | এ-২০৪০৮২৩৬০ | আইডি | মাঝারি |
| CVE-2022-20289 | এ-২০৩৬৮৩৯৬০ | আইডি | মাঝারি |
| CVE-2022-20291 | এ-২০৩৪৩০৬৪৮ | আইডি | মাঝারি |
| CVE-2022-20293 | এ-২০২২৯৮৬৭২ | আইডি | মাঝারি |
| CVE-2022-20307 | এ-১৯৮৭৮২৮৮৭ | আইডি | মাঝারি |
| CVE-2022-20309 | এ-১৯৪৬৯৪০৯৪ | আইডি | মাঝারি |
| CVE-2022-20315 | এ-১৯১০৫৮২২৭ | আইডি | মাঝারি |
| CVE-2022-20316 | এ-১৯০৭২৬১২১ | আইডি | মাঝারি |
| CVE-2022-20318 | এ-১৯৪৬৯৪০৬৯ | আইডি | মাঝারি |
| CVE-2022-20320 | এ-১৮৭৯৫৬৫৯৬ | আইডি | মাঝারি |
| CVE-2022-20324 | এ-১৮৭০৪২১২০ | আইডি | মাঝারি |
| CVE-2022-20328 | এ-১৮৪৯৪৮৫০১ | আইডি | মাঝারি |
| CVE-2022-20332 | এ-১৮০০১৯১৩০ | আইডি | মাঝারি |
| CVE-2022-20336 | এ-১৭৭২৩৯৬৮৮ | আইডি | মাঝারি |
| CVE-2022-20341 | এ-১৬২৯৫২৬২৯ | আইডি | মাঝারি |
| CVE-2022-20322 | এ-১৮৭১৭৬৯৯৩ | আইডি | নিম্ন |
| CVE-2022-20323 | এ-১৮৭১৭৬২০৩ | আইডি | নিম্ন |
মিডিয়া ফ্রেমওয়ার্ক
| সিভিই | তথ্যসূত্র | প্রকার | তীব্রতা |
|---|---|---|---|
| CVE-2022-20290 | এ-২০৩৫৪৯৯৬৩ | EoP | মাঝারি |
| CVE-2022-20325 | এ-১৮৬৪৭৩০৬০ | EoP | মাঝারি |
| CVE-2022-20247 | এ-২২৯৮৫৮৮৩৬ | আইডি | মাঝারি |
| CVE-2022-20317 | এ-১৯০১৯৯০৬৩ | আইডি | মাঝারি |
প্যাকেজ
| সিভিই | তথ্যসূত্র | প্রকার | তীব্রতা |
|---|---|---|---|
| CVE-2022-20319 | এ-১৮৯৫৭৪২৩০ | EoP | মাঝারি |
প্ল্যাটফর্ম
| সিভিই | তথ্যসূত্র | প্রকার | তীব্রতা |
|---|---|---|---|
| CVE-2022-20302 | এ-২০০৭৪৬৪৫৭ | EoP | মাঝারি |
| CVE-2022-20321 | এ-১৮৭১৭৬৮৫৯ | আইডি | মাঝারি |
প্ল্যাটফর্ম
| সিভিই | তথ্যসূত্র | প্রকার | তীব্রতা |
|---|---|---|---|
| CVE-2022-20265 | এ-২১২৮০৪৮৯৮ | EoP | মাঝারি |
সিস্টেম
| সিভিই | তথ্যসূত্র | প্রকার | তীব্রতা |
|---|---|---|---|
| CVE-2022-20283 | এ-২৩৩০৬৯৩৩ | আরসিই | সমালোচনামূলক |
| CVE-2022-20362 | এ-২৩০৭৫৬০৮২ | আরসিই | সমালোচনামূলক |
| CVE-2022-20292 | এ-২০২৯৭৫০৪০ | EoP | উচ্চ |
| CVE-2022-20297 | এ-২০১৫৬১৬৯৯ | EoP | উচ্চ |
| CVE-2022-20330 | এ-১৮১৯৬২৫৮৮ | EoP | উচ্চ |
| CVE-2021-0518 | এ-১৭৬৫৪১০১৭ | আইডি | উচ্চ |
| CVE-2022-20245 | এ-২১৫০০৫০১১ | আইডি | উচ্চ |
| CVE-2022-20259 | এ-২২১৪৩১৩৯৩ | আইডি | উচ্চ |
| CVE-2022-20284 | এ-২৩১৯৮৬৩৪১ | আইডি | উচ্চ |
| CVE-2022-20326 | এ-১৮৫২৩৫৫২৭ | আইডি | উচ্চ |
| CVE-2022-20327 | এ-১৮৫১২৬৮১৩ | আইডি | উচ্চ |
| CVE-2022-20339 | এ-১৭১৫৭২১৪৮ | আইডি | উচ্চ |
| CVE-2022-20244 | এ-২০১০৮৩২৪০ | EoP | মাঝারি |
| CVE-2022-20248 | এ-২২৭৬১৯১৯৩ | EoP | মাঝারি |
| CVE-2022-20254 | এ-২২৩৩৭৭৫৪৭ | EoP | মাঝারি |
| CVE-2022-20256 | এ-২২২৫৭২৮২১ | EoP | মাঝারি |
| CVE-2022-20257 | এ-২২২২৮৯১১৪ | EoP | মাঝারি |
| CVE-2022-20258 | এ-২২১৮৯৩০৩০ | EoP | মাঝারি |
| CVE-2022-20267 | এ-২১১৬৪৬৮৩৫ | EoP | মাঝারি |
| CVE-2022-20269 | এ-২০৯০৬২৮৯৮ | EoP | মাঝারি |
| CVE-2022-20274 | এ-২০৬৪৭০১৪৬ | EoP | মাঝারি |
| CVE-2022-20286 | এ-২৩০৮৬৬০১১ | EoP | মাঝারি |
| CVE-2022-20306 | এ-১৯৯৬৮০৭৯৪ | EoP | মাঝারি |
| CVE-2022-20313 | এ-১৯২২০৬৩২৯ | EoP | মাঝারি |
| CVE-2022-20314 | এ-১৯১৮৭৬১১৮ | EoP | মাঝারি |
| CVE-2022-20329 | এ-১৮৩৪১০৫৫৬ | EoP | মাঝারি |
| CVE-2022-20335 | এ-১৭৮০১৪৭২৫ | EoP | মাঝারি |
| CVE-2022-20241 | এ-২১৭১৮৫০১১ | আইডি | মাঝারি |
| CVE-2022-20242 | এ-২৩১৯৮৬২১২২ | আইডি | মাঝারি |
| CVE-2022-20251 | এ-২২৫৮৮১১৬৭ | আইডি | মাঝারি |
| CVE-2022-20261 | এ-২১৯৮৩৫১২৫ | আইডি | মাঝারি |
| CVE-2022-20273 | এ-২০৬৪৭৮০২২ | আইডি | মাঝারি |
| CVE-2022-20280 | এ-২০৪১১৭২৬১ | আইডি | মাঝারি |
| CVE-2022-20310 | এ-১৯২৬৬৩৭৯৮ | আইডি | মাঝারি |
| CVE-2022-20311 | এ-১৯২৬৬৩৫৫৩ | আইডি | মাঝারি |
| CVE-2022-20340 | এ-১৬৬২৬৯৫৩২ | আইডি | মাঝারি |
| CVE-2022-20342 | এ-১৪৩৫৩৪৩২১ | আইডি | মাঝারি |
| CVE-2022-20253 | এ-২২৪৫৪৫১২৫ | ডস | মাঝারি |
| CVE-2022-20308 | এ-১৯৭৮৭৪৪৫৮ | ডস | মাঝারি |
| CVE-2022-20333 | এ-১৭৯১৬১৬৫৭ | ডস | মাঝারি |
| CVE-2022-20334 | এ-১৭৮৮০০৫৫২ | ডস | মাঝারি |
সাধারণ প্রশ্ন ও উত্তর
এই বুলেটিনটি পড়ার পর মনে আসতে পারে এমন সাধারণ প্রশ্নগুলোর উত্তর এই বিভাগে দেওয়া হয়েছে।
১. এই সমস্যাগুলো সমাধানের জন্য আমার ডিভাইসটি আপডেট করা হয়েছে কিনা, তা আমি কীভাবে বুঝব?
ডিভাইসের সিকিউরিটি প্যাচ লেভেল কীভাবে চেক করতে হয় তা জানতে, ‘আপনার অ্যান্ড্রয়েড ভার্সন চেক ও আপডেট করুন’ দেখুন।
AOSP-তে প্রকাশিত Android 13-এর ডিফল্ট সিকিউরিটি প্যাচ লেভেল হলো ২০২২-০৯-০১। যেসব অ্যান্ড্রয়েড ডিভাইসে Android 13 চলছে এবং যেগুলোর সিকিউরিটি প্যাচ লেভেল ২০২২-০৯-০১ বা তার পরবর্তী, সেগুলোতে এই সিকিউরিটি রিলিজ নোটে উল্লেখিত সমস্ত সমস্যার সমাধান করা হয়েছে।
২. 'Type' কলামের এন্ট্রিগুলোর অর্থ কী?
দুর্বলতার বিবরণ সারণির 'টাইপ' কলামের এন্ট্রিগুলো নিরাপত্তা দুর্বলতার শ্রেণিবিভাগকে নির্দেশ করে।
| সংক্ষিপ্ত রূপ | সংজ্ঞা |
|---|---|
| আরসিই | রিমোট কোড এক্সিকিউশন |
| EoP | বিশেষাধিকারের উন্নতি |
| আইডি | তথ্য প্রকাশ |
| ডস | পরিষেবা প্রদানে অস্বীকৃতি |
| প্রযোজ্য নয় | শ্রেণিবিন্যাস উপলব্ধ নয় |
৩. রেফারেন্স কলামের এন্ট্রিগুলোর অর্থ কী?
দুর্বলতার বিবরণ সারণীর 'রেফারেন্স' কলামের অন্তর্ভুক্ত এন্ট্রিগুলিতে একটি প্রিফিক্স থাকতে পারে, যা রেফারেন্স মানটি কোন সংস্থার অন্তর্গত তা শনাক্ত করে।
| উপসর্গ | রেফারেন্স |
|---|---|
| এ- | অ্যান্ড্রয়েড বাগ আইডি |
সংস্করণ
| সংস্করণ | তারিখ | নোট |
|---|---|---|
| ১.০ | ২৫ জুলাই, ২০২২ | নিরাপত্তা রিলিজ নোট প্রকাশিত হয়েছে |
| ১.১ | ৮ আগস্ট, ২০২২ | আপডেট করা সমস্যার তালিকা |
| ১.২ | ২১ সেপ্টেম্বর, ২০২২ | আপডেট করা সমস্যার তালিকা |
| ১.৩ | ১১ অক্টোবর, ২০২২ | আপডেট করা সমস্যার তালিকা |
| ১.৪ | ২৮ মার্চ, ২০২২ | আপডেট করা সমস্যার তালিকা |
| ১.৫ | ২৯ জুন, ২০২৩ | আপডেট করা সমস্যার তালিকা |