গুগল কালো সম্প্রদায়ের জন্য জাতিগত সমতা উন্নয়নে প্রতিশ্রুতিবদ্ধ। দেখ কিভাবে.
This page was translated by the Cloud Translation API.
Switch to English

নেক্সাস সুরক্ষা বুলেটিন - ডিসেম্বর 2015

07 ডিসেম্বর, 2015 প্রকাশিত | মার্চ 7, 2016 আপডেট হয়েছে

আমরা আমাদের অ্যান্ড্রয়েড সুরক্ষা বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসাবে একটি ওভার-দ্য এয়ার (ওটিএ) আপডেটের মাধ্যমে নেক্সাস ডিভাইসগুলিতে একটি সুরক্ষা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যার চিত্রগুলিও Google বিকাশকারী সাইটে প্রকাশ করা হয়েছে। 1 ডিসেম্বর, 2015 বা এর পরে সুরক্ষা প্যাচ স্তর সহ এলএমওয়াই 48 জেড বা তার পরে এবং অ্যান্ড্রয়েড 6.0 তৈরি করে। আরও তথ্যের জন্য সাধারণ প্রশ্ন এবং উত্তর বিভাগ দেখুন।

অংশীদারদের সম্পর্কে জানানো হয়েছিল এবং 2 নভেম্বর, 2015 বা এর আগেও এই বিষয়গুলির জন্য আপডেট সরবরাহ করা হয়েছিল। প্রযোজ্য যেখানে এই সমস্যাগুলির জন্য উত্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রকল্পের (এওএসপি) সংগ্রহস্থলে প্রকাশ করা হয়েছে।

এর মধ্যে সবচেয়ে মারাত্মক সমস্যাটি হল একটি গুরুতর সুরক্ষা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে রিমোট কোড কার্যকর করতে সক্ষম করে। তীব্রতা মূল্যায়ন এই প্রভাবকে ভিত্তিতে তৈরি করা হয় যে দুর্বলতা কাজে লাগানো সম্ভবত কোনও প্রভাবিত ডিভাইসে থাকতে পারে, ধরে নিই প্ল্যাটফর্ম এবং পরিষেবাটি হ্রাসগুলি বিকাশের উদ্দেশ্যে বা যদি সাফল্যের সাথে অতিক্রম করা হয় তবে অক্ষম রয়েছে।

আমাদের কাছে এই নতুন রিপোর্ট হওয়া সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। পড়ুন Mitigations বিস্তারিত অধ্যায় অ্যান্ড্রয়েড নিরাপত্তা প্ল্যাটফর্ম সুরক্ষা এবং এই ধরনের SafetyNet যেমন সেবা সুরক্ষা, যা অ্যান্ড্রয়েড প্ল্যাটফর্ম নিরাপত্তা উন্নত। আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি।

Mitigations

এটি অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম এবং সেফটি নেট হিসাবে পরিষেবা সুরক্ষার দ্বারা সরবরাহিত প্রশমনগুলির একটি সংক্ষিপ্তসার। এই ক্ষমতাগুলি অ্যান্ড্রয়েডে সুরক্ষিত দুর্বলতাগুলি সফলভাবে কাজে লাগানো সম্ভাবনা হ্রাস করে।

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণগুলিতে উন্নতি করে অ্যান্ড্রয়েডে অনেকগুলি বিষয়গুলির শোষণকে আরও শক্ত করে তোলা হয়েছে। আমরা সমস্ত ব্যবহারকারীদের যেখানে সম্ভব সেখানে অ্যান্ড্রয়েডের সর্বশেষতম সংস্করণে আপডেট করতে উত্সাহিত করি।
  • অ্যান্ড্রয়েড সুরক্ষা দলটি যাচাই করা অ্যাপ্লিকেশন এবং সুরক্ষা নেট দিয়ে অপব্যবহারের জন্য সক্রিয়ভাবে পর্যবেক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশনগুলি ইনস্টল হওয়া সম্পর্কে সতর্ক করবে। গুগল প্লেতে ডিভাইস রুট করার সরঞ্জামগুলি নিষিদ্ধ। গুগল প্লে এর বাইরে থেকে অ্যাপ্লিকেশন ইনস্টল করা ব্যবহারকারীদের সুরক্ষার জন্য, ভেরিফাই অ্যাপস ডিফল্টরূপে সক্ষম হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করবে। অ্যাপ্লিকেশনগুলি কোনও বিশেষাধিকার বর্ধনের দুর্বলতা কাজে লাগিয়ে জানা দূষিত অ্যাপ্লিকেশনগুলির সনাক্তকরণ এবং ব্লক করার চেষ্টাগুলি যাচাই করুন। যদি এই জাতীয় অ্যাপ্লিকেশনটি ইতিমধ্যে ইনস্টল করা হয়ে থাকে, যাচাই করুন অ্যাপ্লিকেশন ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় অ্যাপ্লিকেশনগুলি সরানোর চেষ্টা করবে।
  • যথাযথ হিসাবে, গুগল হ্যাঙ্গআউট এবং ম্যাসেঞ্জার অ্যাপ্লিকেশনগুলি মিডিয়ায়সভারের মতো প্রক্রিয়াগুলিতে মিডিয়া স্বয়ংক্রিয়ভাবে পাস করে না।

প্রাপ্তি স্বীকার

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

সুরক্ষা ক্ষতিগ্রস্থতার বিশদ

নীচের বিভাগগুলিতে, আমরা সুরক্ষা দুর্বলতার জন্য বিশদ সরবরাহ করি যা 2015-12-01 প্যাচ স্তরের ক্ষেত্রে প্রযোজ্য। ইস্যুটির বিবরণ, তীব্রতার যৌক্তিকতা এবং সিভিই, সম্পর্কিত বাগ, তীব্রতা, আপডেট হওয়া সংস্করণ এবং প্রতিবেদন করা তারিখ সহ একটি টেবিল রয়েছে। যখন উপলভ্য হবে, তখন আমরা এওএসপি পরিবর্তনের সাথে সংযোগ করব যা এই সমস্যাটিকে বাগ আইডিতে যুক্ত করেছে। যখন একাধিক পরিবর্তন একক বাগের সাথে সম্পর্কিত হয়, অতিরিক্ত এওএসপি রেফারেন্সগুলি বাগ আইডির পরে সংখ্যার সাথে লিঙ্ক করা হয়।

মিডিয়াসেভারে রিমোট কোড এক্সিকিউশন অরক্ষ্যতা

মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি কারিগরী ফাইলটির ডেটা প্রসেসিংয়ের সময়, মিডিয়াসিভারের দুর্বলতাগুলি আক্রমণকারীকে মেমরি দুর্নীতি এবং দূরবর্তী কোড প্রয়োগের মধ্যস্থতাকারী প্রক্রিয়া হিসাবে অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা দূরবর্তী সামগ্রীতে এটি পৌঁছানোর অনুমতি দেয়, বিশেষত এমএমএস এবং মিডিয়াটির ব্রাউজার প্লেব্যাক।

মিডিয়াসেভার সার্ভিসের প্রসঙ্গে রিমোট কোড প্রয়োগের সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে চিহ্নিত করা হয়েছে। মধ্যস্থতাকারী পরিষেবাটিতে অডিও এবং ভিডিও স্ট্রিমের অ্যাক্সেসের পাশাপাশি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি সাধারণত অ্যাক্সেস করতে পারে না এমন সুযোগ-সুবিধার অ্যাক্সেস পায়।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6616 অ্যান্ড্রয়েড-24630158 সংকটপূর্ণ 6.0 এবং নীচে গুগল অভ্যন্তরীণ
অ্যান্ড্রয়েড-23882800 সংকটপূর্ণ 6.0 এবং নীচে গুগল অভ্যন্তরীণ
অ্যান্ড্রয়েড-17769851 সংকটপূর্ণ 5.1 এবং নীচে গুগল অভ্যন্তরীণ
অ্যান্ড্রয়েড-24441553 সংকটপূর্ণ 6.0 এবং নীচে 22 সেপ্টেম্বর, 2015
অ্যান্ড্রয়েড-24157524 সংকটপূর্ণ ছয় সেপ্টেম্বর 08, 2015

স্কিয়ায় রিমোট কোড এক্সিকিউশন অরক্ষারতা

বিশেষত কারুকৃত মিডিয়া ফাইল প্রক্রিয়াকরণের সময় স্কিয়া উপাদানটির দুর্বলতা বাড়ানো যেতে পারে, যা কোনও সুবিধাযুক্ত প্রক্রিয়াতে মেমরির দুর্নীতি এবং রিমোট কোড প্রয়োগের দিকে নিয়ে যেতে পারে। মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক আক্রমণ পদ্ধতির মাধ্যমে রিমোট কোড প্রয়োগের সম্ভাবনার কারণে এই সমস্যাটিকে তীব্র তীব্রতা হিসাবে চিহ্নিত করা হয়।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6617 অ্যান্ড্রয়েড-23648740 সংকটপূর্ণ 6.0 এবং নীচে গুগল অভ্যন্তরীণ

কার্নেলে প্রাইভেলিজের উচ্চতা

সিস্টেম কার্নেলের সুবিধার্থে দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে ডিভাইসের মূল প্রসঙ্গে প্রবণতা কোড চালাতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে চিহ্নিত করা হয়েছে এবং কেবলমাত্র অপারেটিং সিস্টেমটিকে পুনরায় ফ্ল্যাশ করে ডিভাইসটি মেরামত করা যেতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6619 অ্যান্ড্রয়েড-23520714 সংকটপূর্ণ 6.0 এবং নীচে জুন 7, 2015

ডিসপ্লে ড্রাইভারে রিমোট কোড এক্সিকিউশন অরক্ষ্যতা

ডিসপ্লে ড্রাইভারগুলির মধ্যে দুর্বলতা রয়েছে যেগুলি যখন কোনও মিডিয়া ফাইল প্রসেসিং করা হয় তখন মিডিয়ায়সার দ্বারা লোড হওয়া ব্যবহারকারী মোড ড্রাইভারের প্রসঙ্গে মেমরির দুর্নীতি এবং সম্ভাব্য স্বেচ্ছাচারিত কোড কার্যকর করতে পারে। মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক আক্রমণ পদ্ধতির মাধ্যমে রিমোট কোড প্রয়োগের সম্ভাবনার কারণে এই সমস্যাটিকে তীব্র তীব্রতা হিসাবে চিহ্নিত করা হয়।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6633 অ্যান্ড্রয়েড-23987307 * সংকটপূর্ণ 6.0 এবং নীচে গুগল অভ্যন্তরীণ
জন্য CVE-2015-6634 Android-24163261 [ 2 ] [ 3 ] [ 4 ] সংকটপূর্ণ 5.1 এবং নীচে গুগল অভ্যন্তরীণ

* এই ইস্যুটির প্যাচ এওএসপিতে নেই। গুগল বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে আপডেটটি রয়েছে।

ব্লুটুথে রিমোট কোড এক্সিকিউশন অরক্ষারতা

অ্যান্ড্রয়েডের ব্লুটুথ উপাদানটির একটি দুর্বলতা দূরবর্তী কোড প্রয়োগের অনুমতি দিতে পারে। তবে এটি হওয়ার আগে একাধিক ম্যানুয়াল পদক্ষেপের প্রয়োজন। এটি করার জন্য, ব্যক্তিগত অঞ্চল নেটওয়ার্ক (প্যান) প্রোফাইল সক্ষম হওয়ার পরে (উদাহরণস্বরূপ ব্লুটুথ টিথারিং ব্যবহার করে) এবং ডিভাইসটি জোড়া তৈরি করার পরে এটির জন্য একটি সফলভাবে যুক্ত করা ডিভাইস প্রয়োজন। রিমোট কোড এক্সিকিউশনটি ব্লুটুথ পরিষেবাটির সুবিধার্থে হবে। স্থানীয় নিকটে থাকাকালীন কোনও ডিভাইস সাফল্যের সাথে যুক্ত জোড় করা ডিভাইস থেকে এই সমস্যাটিতেই দুর্বল।

এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এক আক্রমণকারী একাধিক ম্যানুয়াল পদক্ষেপ গ্রহণের পরে এবং স্থানীয়ভাবে একজন আনুমানিক আক্রমণকারীর কাছ থেকে যাকে আগে কোনও ডিভাইস জোড়া দেওয়ার অনুমতি দেওয়া হয়েছিল কেবল তখন থেকেই নির্বিচারে কোড নির্বাহ করতে পারে।

জন্য CVE বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6618 অ্যান্ড্রয়েড-24595992 * উচ্চ 4.4, 5.0, এবং 5.1 সেপ্টেম্বর 28, 2015

* এই ইস্যুটির প্যাচ এওএসপিতে নেই। গুগল বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে আপডেটটি রয়েছে।

লিবিস্টেজফ্রেটে প্রাইভেলিজ অপদার্থগুলির উচ্চতা

লিবিস্টেজফ্রেটে একাধিক দুর্বলতা রয়েছে যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে মধ্যস্থতাকারী পরিষেবার পরিপ্রেক্ষিতে স্বেচ্ছাচারিত কোড কার্যকর করতে সক্ষম করতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেমের অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহৃত হতে পারে to

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6620 অ্যান্ড্রয়েড-24123723 উচ্চ 6.0 এবং নীচে সেপ্টেম্বর 10, 2015
অ্যান্ড্রয়েড-24445127 উচ্চ 6.0 এবং নীচে সেপ্টেম্বর 2, 2015

SystemUI- এ প্রাইভেলিজ ভ্লানারেবিলিটির উচ্চতা

ক্লক অ্যাপ্লিকেশনটি ব্যবহার করে একটি অ্যালার্ম সেট করার সময়, সিস্টেম ইউআই উপাদানটির একটি দুর্বলতা কোনও অ্যাপ্লিকেশনকে একটি উন্নত সুযোগ সুবিধা স্তরে কোনও কার্য সম্পাদন করতে দেয়। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেমের অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহৃত হতে পারে to

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6621 অ্যান্ড্রয়েড-23909438 উচ্চ 5.0, 5.1, এবং 6.0 সেপ্টেম্বর 7, 2015

নেটিভ ফ্রেমওয়ার্ক লাইব্রেরিতে তথ্য প্রকাশের দুর্বলতা

অ্যান্ড্রয়েড নেটিভ ফ্রেমওয়ার্ক লাইব্রেরিতে একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়ানোর জন্য সুরক্ষা ব্যবস্থার একটি বাইপাসকে অনুমতি দিতে পারে। এই বিষয়গুলিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এগুলি স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির সুবিধা হিসাবে তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় যেমন উন্নত ক্ষমতা অর্জন করতেও ব্যবহৃত হতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6622 অ্যান্ড্রয়েড-23905002 উচ্চ 6.0 এবং নীচে সেপ্টেম্বর 7, 2015

ওয়াই-ফাইতে প্রাইভেলিজ দুর্বলতার উচ্চতা

ওয়াই-ফাইতে সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে একটি উন্নত সিস্টেম পরিষেবার পরিপ্রেক্ষিতে স্বেচ্ছাচারিত কোড কার্যকর করতে সক্ষম করতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনটিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা স্বাক্ষরঅরসিস্টেম অনুমোদনের সুবিধার মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহৃত হতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6623 অ্যান্ড্রয়েড-24872703 উচ্চ ছয় গুগল অভ্যন্তরীণ

সিস্টেম সার্ভারে প্রাইভেলিজ ভ্লেনারিবিলিটির উচ্চতা

সিস্টেম সার্ভার উপাদানটিতে সুবিধাবঞ্চিত দুর্বলতার উচ্চতা কোনও স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে পরিষেবা সম্পর্কিত তথ্য অ্যাক্সেস পেতে সক্ষম করতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেমের অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6624 অ্যান্ড্রয়েড-23999740 উচ্চ ছয় গুগল অভ্যন্তরীণ

লিবস্টেজফ্রেটে তথ্য প্রকাশের দুর্বলতা

লিবিস্টেজেট্রাইটে তথ্য প্রকাশের দুর্বলতাগুলি রয়েছে যে মিডিয়াসরবারের সাথে যোগাযোগের সময়, প্ল্যাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়ানোর জন্য জায়গায় সুরক্ষা ব্যবস্থাগুলির একটি বাইপাসকে অনুমতি দেওয়া যেতে পারে। এই বিষয়গুলিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এগুলি স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির সুবিধা হিসাবে তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় যেমন উন্নত ক্ষমতা অর্জন করতেও ব্যবহৃত হতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6632 অ্যান্ড্রয়েড-24346430 উচ্চ 6.0 এবং নীচে গুগল অভ্যন্তরীণ
জন্য CVE-2015-6626 অ্যান্ড্রয়েড-24310423 উচ্চ 6.0 এবং নীচে সেপ্টেম্বর 2, 2015
জন্য CVE-2015-6631 অ্যান্ড্রয়েড-24623447 উচ্চ 6.0 এবং নীচে আগস্ট 21, 2015

অডিওতে তথ্য প্রকাশের দুর্বলতা

অডিও ফাইল প্রসেসিংয়ের সময় অডিও উপাদানটির একটি দুর্বলতা কাজে লাগানো যেতে পারে। এই দুর্বলতা একটি বিশেষত কারুকৃত ফাইলের প্রক্রিয়া চলাকালীন কোনও স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে তথ্য প্রকাশের কারণ হতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেমের অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6627 অ্যান্ড্রয়েড-24211743 উচ্চ 6.0 এবং নীচে গুগল অভ্যন্তরীণ

মিডিয়া ফ্রেমওয়ার্কে তথ্য প্রকাশের দুর্বলতা

মিডিয়া ফ্রেমওয়ার্কে একটি তথ্য প্রকাশের দুর্বলতা রয়েছে যে মিডিয়াজারের সাথে যোগাযোগের সময়, প্ল্যাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়ানোর জন্য জায়গায় সুরক্ষা ব্যবস্থাগুলির বাইপাসকে অনুমতি দেওয়া যেতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতেও ব্যবহৃত হতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6628 অ্যান্ড্রয়েড-24074485 উচ্চ 6.0 এবং নীচে সেপ্টেম্বর 8, 2015

ওয়াই ফাইতে তথ্য প্রকাশের দুর্বলতা

ওয়াই-ফাই উপাদানটির একটি দুর্বলতা আক্রমণকারীকে ওয়াই-ফাই পরিষেবাটি তথ্য প্রকাশের কারণ হতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেমের অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহৃত হতে পারে to

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6629 অ্যান্ড্রয়েড-22667667 উচ্চ 5.1 এবং 5.0 গুগল অভ্যন্তরীণ

সিস্টেম সার্ভারে প্রাইভেলিজ ভ্লেনারিবিলিটির উচ্চতা

সিস্টেম সার্ভারে সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে ওয়াই-ফাই পরিষেবা সম্পর্কিত তথ্য অ্যাক্সেস পেতে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি ভুলভাবে " বিপজ্জনক " অনুমতিগুলি ব্যবহার করতে ব্যবহৃত হতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6625 অ্যান্ড্রয়েড-23936840 মধ্যপন্থী ছয় গুগল অভ্যন্তরীণ

SystemUI- এ তথ্য প্রকাশের দুর্বলতা

সিস্টেম ইউআই-তে একটি তথ্য প্রকাশের দুর্বলতা স্ক্রিনশটগুলিতে অ্যাক্সেস পাওয়ার জন্য স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি ভুলভাবে " বিপজ্জনক " অনুমতিগুলি ব্যবহার করতে ব্যবহৃত হতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2015-6630 অ্যান্ড্রয়েড-19121797 মধ্যপন্থী 5.0, 5.1, এবং 6.0 জানুয়ারী 22, 2015

সাধারণ প্রশ্ন এবং উত্তরসমূহ

এই বিভাগটি এই বুলেটিনটি পড়ার পরে দেখা দিতে পারে এমন সাধারণ প্রশ্নের উত্তরগুলির পর্যালোচনা করবে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

1 ডিসেম্বর, 2015 বা এর পরে সুরক্ষা প্যাচ স্তর সহ এলএমওয়াই 48 জেড বা তার পরে এবং অ্যান্ড্রয়েড 6.0 তৈরি করে। সুরক্ষা প্যাচ স্তর কীভাবে পরীক্ষা করতে হয় তার নির্দেশাবলীর জন্য নেক্সাস ডকুমেন্টেশন দেখুন । এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস প্রস্তুতকারকদের প্যাচ স্ট্রিং স্তরটি এতে নির্ধারণ করা উচিত: [ro.build.version.security_patch]: [2015-12-01]

পুনর্বিবেচনা

  • 07 ডিসেম্বর, 2015: মূলত প্রকাশিত
  • ডিসেম্বর 09, 2015: বুলেটিন এওএসপি লিঙ্কগুলি অন্তর্ভুক্ত করতে সংশোধিত।
  • ডিসেম্বর 22, 2015: স্বীকৃতি বিভাগে অনুপস্থিত creditণ যোগ করা হয়েছে।
  • মার্চ 07, 2016: স্বীকৃতি বিভাগে অনুপস্থিত creditণ যোগ করা হয়েছে।