নেক্সাস নিরাপত্তা বুলেটিন - সেপ্টেম্বর 2015

9 সেপ্টেম্বর, 2015 প্রকাশিত

আমরা আমাদের অ্যান্ড্রয়েড সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়া (বিল্ড LMY48M) এর অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। এই সমস্যাগুলির জন্য নেক্সাস ডিভাইস এবং সোর্স কোড প্যাচগুলির আপডেটগুলিও অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সোর্স রিপোজিটরিতে প্রকাশ করা হয়েছে৷ এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে।

নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। LMY48M বা পরবর্তীতে এই সমস্যাগুলির সমাধান করে। 13 আগস্ট, 2015 বা তার আগে অংশীদারদের এই সমস্যাগুলি সম্পর্কে অবহিত করা হয়েছিল৷

আমরা নতুন রিপোর্ট করা সমস্যাগুলির গ্রাহক শোষণ সনাক্ত করিনি। ব্যতিক্রম হল বিদ্যমান সমস্যা (CVE-2015-3636)। অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষাগুলির বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android এ সুরক্ষা দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা হ্রাস করে৷

অনুগ্রহ করে মনে রাখবেন যে উভয় গুরুত্বপূর্ণ নিরাপত্তা আপডেট (CVE-2015-3864 এবং CVE-2015-3686) ঠিকানা ইতিমধ্যেই দুর্বলতা প্রকাশ করেছে৷ এই আপডেটে নতুনভাবে প্রকাশিত কোনো জটিল নিরাপত্তা দুর্বলতা নেই। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷

প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল হওয়ার বিষয়ে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
  • উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।

স্বীকৃতি

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

  • এক্সোডাস ইন্টেলিজেন্সের জর্ডান গ্রুসকোভনজাক (@jgrusko): CVE-2015-3864
  • Michał Bednarski: CVE-2015-3845
  • Qihoo 360 Technology Co. Ltd (@oldfresher): CVE-2015-1528, CVE-2015-3849 এর গুয়াং গং
  • Brennan Lautner: CVE-2015-3863
  • jgor (@indiecom): CVE-2015-3860
  • ট্রেন্ড মাইক্রো ইনকর্পোরেটেডের উইশ উ (@wish_wu): CVE-2015-3861

নিরাপত্তা দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা এই বুলেটিনে প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ বিবরণ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, প্রভাবিত সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। যেখানে উপলব্ধ, আমরা AOSP পরিবর্তনটিকে লিঙ্ক করেছি যা সমস্যাটিকে বাগ আইডিতে সম্বোধন করেছে৷ যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।

মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা

মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।

মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

এই সমস্যাটি ইতিমধ্যে রিপোর্ট করা CVE-2015-3824 (ANDROID-20923261) এর সাথে সম্পর্কিত। মূল নিরাপত্তা আপডেট এই মূল রিপোর্ট করা সমস্যাটির একটি বৈকল্পিক সমাধান করার জন্য যথেষ্ট ছিল না।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা প্রভাবিত সংস্করণ
CVE-2015-3864 ANDROID-23034759 সমালোচনামূলক 5.1 এবং নীচে

কার্নেলে এলিভেশন প্রিভিলেজ দুর্বলতা

লিনাক্স কার্নেলের পিং সকেট পরিচালনার ক্ষেত্রে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর অনুমতি দিতে পারে।

একটি বিশেষ সুবিধাপ্রাপ্ত পরিষেবাতে কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে যা ডিভাইস সুরক্ষাগুলিকে বাইপাস করতে পারে, সম্ভাব্যভাবে কিছু ডিভাইসে স্থায়ী আপস (অর্থাৎ, সিস্টেম পার্টিশন পুনরায় ফ্ল্যাশ করার প্রয়োজন) হতে পারে৷

এই সমস্যাটি প্রথম সর্বজনীনভাবে 01 মে, 2015-এ চিহ্নিত করা হয়েছিল৷ এই দুর্বলতার একটি শোষণকে অনেকগুলি "রুটিং" সরঞ্জামগুলিতে অন্তর্ভুক্ত করা হয়েছে যা ডিভাইসের মালিক তাদের ডিভাইসে ফার্মওয়্যার সংশোধন করতে ব্যবহার করতে পারে৷

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ
CVE-2015-3636 ANDROID-20770158 সমালোচনামূলক 5.1 এবং নীচে

বাইন্ডারে বিশেষাধিকার দুর্বলতার উচ্চতা

বাইন্ডারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি দূষিত অ্যাপ্লিকেশনটিকে অন্য অ্যাপের প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর অনুমতি দিতে পারে।

এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি একটি দূষিত অ্যাপ্লিকেশনকে এমন সুযোগ-সুবিধা অর্জন করতে দেয় যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ
CVE-2015-3845 অ্যান্ড্রয়েড-17312693 উচ্চ 5.1 এবং নীচে
CVE-2015-1528 ANDROID-19334482 [ 2 ] উচ্চ 5.1 এবং নীচে

কীস্টোরে বিশেষাধিকার দুর্বলতার উচ্চতা

কীস্টোরে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি দূষিত অ্যাপ্লিকেশনকে কীস্টোর পরিষেবার প্রসঙ্গে নির্বিচারে কোড চালানোর অনুমতি দিতে পারে। এটি হার্ডওয়্যার-ব্যাকড কী সহ কীস্টোর দ্বারা সংরক্ষিত কীগুলির অননুমোদিত ব্যবহারের অনুমতি দিতে পারে।

এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয় এমন সুযোগ সুবিধা পেতে ব্যবহার করা যেতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ
CVE-2015-3863 ANDROID-22802399 উচ্চ 5.1 এবং নীচে

অঞ্চলে বিশেষাধিকার দুর্বলতার উচ্চতা

অঞ্চলে বিশেষাধিকার দুর্বলতার একটি উচ্চতা, একটি পরিষেবাতে একটি দূষিত বার্তা তৈরির মাধ্যমে, একটি দূষিত অ্যাপ্লিকেশনকে লক্ষ্য পরিষেবার প্রেক্ষাপটে নির্বিচারে কোড চালানোর অনুমতি দিতে পারে।

এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয় এমন সুযোগ সুবিধা পেতে ব্যবহার করা যেতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ
CVE-2015-3849 ANDROID-20883006 [ 2 ] উচ্চ 5.1 এবং নীচে

এসএমএসে প্রিভিলেজ দুর্বলতার উচ্চতা বিজ্ঞপ্তি বাইপাস সক্ষম করে

অ্যান্ড্রয়েড যেভাবে এসএমএস মেসেজ প্রসেস করে তাতে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি দূষিত অ্যাপ্লিকেশনকে একটি এসএমএস বার্তা পাঠাতে সক্ষম করতে পারে যা প্রিমিয়াম-রেট এসএমএস সতর্কতা বিজ্ঞপ্তিকে বাইপাস করে।

এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয় এমন সুযোগ সুবিধা পেতে ব্যবহার করা যেতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ
CVE-2015-3858 ANDROID-22314646 উচ্চ 5.1 এবং নীচে

লকস্ক্রিনে বিশেষাধিকার দুর্বলতার উচ্চতা

লকস্ক্রিনে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি দূষিত ব্যবহারকারীকে লকস্ক্রিনটি ক্র্যাশ করে বাইপাস করার অনুমতি দিতে পারে। এই সমস্যাটিকে শুধুমাত্র Android 5.0 এবং 5.1-এ একটি দুর্বলতা হিসাবে শ্রেণীবদ্ধ করা হয়েছে৷ যদিও 4.4-এ একইভাবে লকস্ক্রিন থেকে সিস্টেম UI ক্র্যাশ করা সম্ভব, হোম স্ক্রীনটি অ্যাক্সেস করা যাবে না এবং পুনরুদ্ধার করতে ডিভাইসটিকে রিবুট করতে হবে।

এই সমস্যাটিকে একটি মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি সম্ভাব্যভাবে কোনও ডিভাইসে শারীরিক অ্যাক্সেস সহ কাউকে ডিভাইসের মালিকের অনুমতি ছাড়াই তৃতীয় পক্ষের অ্যাপগুলি ইনস্টল করার অনুমতি দেয়৷ এটি আক্রমণকারীকে যোগাযোগের ডেটা, ফোন লগ, এসএমএস বার্তা এবং অন্যান্য ডেটা দেখার অনুমতি দিতে পারে যা সাধারণত একটি "বিপজ্জনক" স্তরের অনুমতি দিয়ে সুরক্ষিত থাকে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ
CVE-2015-3860 ANDROID-22214934 পরিমিত 5.1 এবং 5.0

মিডিয়াসার্ভারে পরিষেবার দুর্বলতা অস্বীকার করা

মিডিয়াসার্ভারে পরিষেবার দুর্বলতা অস্বীকার করা স্থানীয় আক্রমণকারীকে সাময়িকভাবে প্রভাবিত ডিভাইসে অ্যাক্সেস ব্লক করার অনুমতি দিতে পারে।

এই সমস্যাটিকে নিম্ন তীব্রতা হিসাবে রেট করা হয়েছে কারণ এই সমস্যাটি শোষণকারী একটি দূষিত অ্যাপ্লিকেশন সরাতে ব্যবহারকারী নিরাপদ মোডে রিবুট করতে পারে৷ মিডিয়াসার্ভারকে দূরবর্তীভাবে ওয়েবের মাধ্যমে বা MMS-এর মাধ্যমে দূষিত ফাইলটি প্রক্রিয়া করার কারণ করাও সম্ভব, সেক্ষেত্রে মিডিয়াসার্ভার প্রক্রিয়াটি ক্র্যাশ হয়ে যায় এবং ডিভাইসটি ব্যবহারযোগ্য থাকে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ
CVE-2015-3861 ANDROID-21296336 কম 5.1 এবং নীচে