Wear OS নিরাপত্তা বুলেটিন—মে 2024

প্রকাশিত: ৬ মে, ২০২৪

Wear OS সিকিউরিটি বুলেটিনে Wear OS প্ল্যাটফর্মকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতাগুলির বিবরণ রয়েছে। সম্পূর্ণ Wear OS আপডেটে এই বুলেটিনের সমস্ত সমস্যার পাশাপাশি মে ২০২৪ অ্যান্ড্রয়েড সিকিউরিটি বুলেটিন থেকে ২০২৪-০৫-০৫ বা তার পরবর্তী নিরাপত্তা প্যাচ লেভেল অন্তর্ভুক্ত রয়েছে।

আমরা সকল গ্রাহককে তাদের ডিভাইসে এই আপডেটগুলো গ্রহণ করতে উৎসাহিত করছি।

এই সমস্যাগুলোর মধ্যে সবচেয়ে গুরুতর হলো ফ্রেমওয়ার্ক কম্পোনেন্টের একটি মারাত্মক নিরাপত্তা দুর্বলতা, যার ফলে কোনো ক্ষতিকারক অ্যাপ অতিরিক্ত কোনো এক্সিকিউশন প্রিভিলেজ ছাড়াই স্থানীয়ভাবে প্রিভিলেজ বৃদ্ধি করতে পারে। এই দুর্বলতা কাজে লাগানোর ফলে একটি প্রভাবিত ডিভাইসে কী ধরনের সম্ভাব্য প্রভাব পড়তে পারে, তার উপর ভিত্তি করেই এর তীব্রতা নির্ধারণ করা হয় ; এক্ষেত্রে ধরে নেওয়া হয় যে ডেভেলপমেন্টের উদ্দেশ্যে প্ল্যাটফর্ম এবং পরিষেবার প্রতিরোধমূলক ব্যবস্থাগুলো বন্ধ রাখা হয়েছে অথবা সফলভাবে বাইপাস করা হয়েছে।

ঘোষণা

  • মে ২০২৪ অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে বর্ণিত নিরাপত্তা দুর্বলতাগুলো ছাড়াও, এই বুলেটিনে নিচে বর্ণিত Wear OS-এর দুর্বলতাগুলোর জন্য নির্দিষ্ট প্যাচও রয়েছে।

২০২৪-০৫-০১ নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নিচের বিভাগগুলিতে, আমরা 2024-05-01 প্যাচ লেভেলের জন্য প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার বিবরণ প্রদান করেছি। দুর্বলতাগুলিকে তাদের দ্বারা প্রভাবিত উপাদানের অধীনে গোষ্ঠীভুক্ত করা হয়েছে। সমস্যাগুলি নীচের সারণীগুলিতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরণ , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। যখন উপলব্ধ থাকে, আমরা AOSP পরিবর্তন তালিকার মতো বাগ আইডির সাথে সমস্যাটির সমাধানকারী পাবলিক পরিবর্তনটি লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন অতিরিক্ত রেফারেন্সগুলি বাগ আইডির পরে থাকা সংখ্যাগুলির সাথে লিঙ্ক করা হয়। Android 10 এবং তার পরবর্তী সংস্করণযুক্ত ডিভাইসগুলি নিরাপত্তা আপডেটের পাশাপাশি Google Play সিস্টেম আপডেটও পেতে পারে।

কাঠামো

এই অংশের সবচেয়ে গুরুতর দুর্বলতার কারণে কোনো ক্ষতিকারক অ্যাপ অতিরিক্ত কোনো এক্সিকিউশন প্রিভিলেজ ছাড়াই স্থানীয়ভাবে প্রিভিলেজ বৃদ্ধি করতে পারে।

সিভিই তথ্যসূত্র প্রকার তীব্রতা আপডেট করা AOSP সংস্করণ
CVE-2024-23700 এ-৩১০৬৩৪৫৩৯ আইডি সমালোচনামূলক ১৩
CVE-2024-23703 এ-২৬৮৭৩৭৮১৮ EoP উচ্চ ১৩

সিস্টেম

এই অংশের সবচেয়ে গুরুতর দুর্বলতার ফলে কোনো অতিরিক্ত এক্সিকিউশন প্রিভিলেজ ছাড়াই স্থানীয়ভাবে প্রিভিলেজ বৃদ্ধি করা সম্ভব হতে পারে।

সিভিই তথ্যসূত্র প্রকার তীব্রতা আপডেট করা AOSP সংস্করণ
CVE-2024-23701 এ-৩০০২৬৭৮০২ EoP উচ্চ ১৩
CVE-2024-23702 এ-২৯০৮১৯০৪১ EoP উচ্চ ১৩

সাধারণ প্রশ্ন ও উত্তর

এই বুলেটিনটি পড়ার পর মনে আসতে পারে এমন সাধারণ প্রশ্নগুলোর উত্তর এই বিভাগে দেওয়া হয়েছে।

১. এই সমস্যাগুলো সমাধানের জন্য আমার ডিভাইসটি আপডেট করা হয়েছে কিনা, তা আমি কীভাবে বুঝব?

কোনো ডিভাইসের সিকিউরিটি প্যাচ লেভেল কীভাবে চেক করতে হয় তা জানতে, গুগল ডিভাইস আপডেট শিডিউলের নির্দেশাবলী পড়ুন।

  • ২০২৪-০৫-০১ বা তার পরবর্তী নিরাপত্তা প্যাচ লেভেলগুলো ২০২৪-০৫-০১ নিরাপত্তা প্যাচ লেভেলের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।

যেসব ডিভাইস প্রস্তুতকারক এই আপডেটগুলি অন্তর্ভুক্ত করে, তাদের প্যাচ স্ট্রিং লেভেলটি নিম্নরূপে সেট করা উচিত:

  • [ro.build.version.security_patch]:[2024-05-01]

অ্যান্ড্রয়েড ১০ বা তার পরবর্তী সংস্করণের কিছু ডিভাইসের ক্ষেত্রে, গুগল প্লে সিস্টেম আপডেটে একটি ডেট স্ট্রিং থাকবে যা ২০২৪-০৫-০১ সিকিউরিটি প্যাচ লেভেলের সাথে মিলে যায়। সিকিউরিটি আপডেট কীভাবে ইনস্টল করতে হয় সে সম্পর্কে আরও বিস্তারিত জানতে অনুগ্রহ করে এই আর্টিকেলটি দেখুন।

২. 'Type' কলামের এন্ট্রিগুলোর অর্থ কী?

দুর্বলতার বিবরণ সারণির 'টাইপ' কলামের এন্ট্রিগুলো নিরাপত্তা দুর্বলতার শ্রেণিবিভাগকে নির্দেশ করে।

সংক্ষিপ্ত রূপ সংজ্ঞা
আরসিই রিমোট কোড এক্সিকিউশন
EoP বিশেষাধিকারের উন্নতি
আইডি তথ্য প্রকাশ
ডস পরিষেবা প্রদানে অস্বীকৃতি
প্রযোজ্য নয় শ্রেণিবিন্যাস উপলব্ধ নয়

৩. রেফারেন্স কলামের এন্ট্রিগুলোর অর্থ কী?

দুর্বলতার বিবরণ সারণীর 'রেফারেন্স' কলামের অন্তর্ভুক্ত এন্ট্রিগুলিতে একটি প্রিফিক্স থাকতে পারে, যা রেফারেন্স মানটি কোন সংস্থার অন্তর্গত তা শনাক্ত করে।

উপসর্গ রেফারেন্স
এ- অ্যান্ড্রয়েড বাগ আইডি
কিউসি- কোয়ালকম রেফারেন্স নম্বর
এম- মিডিয়াটেক রেফারেন্স নম্বর
এন- এনভিডিয়া রেফারেন্স নম্বর
বি- ব্রডকম রেফারেন্স নম্বর
ইউ- UNISOC রেফারেন্স নম্বর

৪. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে থাকা * চিহ্নটির অর্থ কী?

যে সমস্যাগুলো সর্বজনীনভাবে উপলব্ধ নয়, সেগুলোর সংশ্লিষ্ট রেফারেন্স আইডির পাশে একটি * চিহ্ন থাকে। সেই সমস্যার আপডেটটি সাধারণত গুগল ডেভেলপার সাইট থেকে পাওয়া পিক্সেল ডিভাইসগুলোর জন্য সর্বশেষ বাইনারি ড্রাইভারের মধ্যে অন্তর্ভুক্ত থাকে।

৫. নিরাপত্তা দুর্বলতাগুলো কেন এই বুলেটিন এবং ডিভাইস/পার্টনার নিরাপত্তা বুলেটিন, যেমন পিক্সেল বুলেটিনের মধ্যে বিভক্ত করা হয়েছে?

এই নিরাপত্তা বুলেটিনে নথিভুক্ত নিরাপত্তা দুর্বলতাগুলোর জন্য অ্যান্ড্রয়েড ডিভাইসগুলোতে সর্বশেষ নিরাপত্তা প্যাচ লেভেল ঘোষণা করা আবশ্যক। ডিভাইস/পার্টনার নিরাপত্তা বুলেটিনে নথিভুক্ত অতিরিক্ত নিরাপত্তা দুর্বলতাগুলোর জন্য নিরাপত্তা প্যাচ লেভেল ঘোষণা করার প্রয়োজন নেই। অ্যান্ড্রয়েড ডিভাইস এবং চিপসেট প্রস্তুতকারক, যেমন গুগল , হুয়াওয়ে , এলজিই , মটোরোলা , নোকিয়া বা স্যামসাং , তাদের নিজস্ব পণ্যের জন্য নির্দিষ্ট নিরাপত্তা দুর্বলতার বিবরণও প্রকাশ করতে পারে।

সংস্করণ

সংস্করণ তারিখ নোট
১.০ ৬ মে, ২০২৪ বুলেটিন প্রকাশিত হয়েছে।