07 ডিসেম্বর, 2015 প্রকাশিত | মার্চ 7, 2016 আপডেট হয়েছে
আমরা আমাদের অ্যান্ড্রয়েড সুরক্ষা বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসাবে একটি ওভার-দ্য এয়ার (ওটিএ) আপডেটের মাধ্যমে নেক্সাস ডিভাইসে একটি সুরক্ষা আপডেট প্রকাশ করেছি released নেক্সাস ফার্মওয়্যার চিত্রগুলিও Google বিকাশকারী সাইটে প্রকাশ করা হয়েছে। 1 ডিসেম্বর, 2015 বা এর পরে সুরক্ষা প্যাচ স্তর সহ এলএমওয়াই 48 জেড বা তার পরে এবং অ্যান্ড্রয়েড 6.0 তৈরি করে issues আরও তথ্যের জন্য সাধারণ প্রশ্ন এবং উত্তর বিভাগ দেখুন।
অংশীদারদের সম্পর্কে জানানো হয়েছিল এবং 2 নভেম্বর, 2015 বা এর আগেও এই বিষয়গুলির জন্য আপডেট সরবরাহ করা হয়েছিল। প্রযোজ্য যেখানে এই সমস্যাগুলির জন্য উত্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রকল্প (এওএসপি) সংগ্রহস্থলে প্রকাশ করা হয়েছে।
এই সমস্যাগুলির মধ্যে সবচেয়ে মারাত্মক হ'ল একটি সমালোচনামূলক সুরক্ষা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে রিমোট কোড কার্যকর করতে সক্ষম করে। তীব্রতা মূল্যায়ন এই প্রভাবকে ভিত্তিতে তৈরি করা হয় যে দুর্বলতা কাজে লাগানো সম্ভবত কোনও প্রভাবিত ডিভাইসে থাকতে পারে, ধরে নিই প্ল্যাটফর্ম এবং পরিষেবাটি হ্রাসগুলি বিকাশের উদ্দেশ্যে বা যদি সাফল্যের সাথে অতিক্রম করা হয় তবে অক্ষম রয়েছে।
আমাদের কাছে এই নতুন রিপোর্ট হওয়া সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। অ্যান্ড্রয়েড প্ল্যাটফর্মের সুরক্ষা উন্নতকারী অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটি নেট হিসাবে পরিষেবা সুরক্ষা সম্পর্কিত বিশদগুলির জন্য প্রশমন বিভাগটি দেখুন। আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি।
প্রশমন
এটি অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম এবং সেফটি নেট হিসাবে পরিষেবা সুরক্ষার দ্বারা সরবরাহিত প্রশমনগুলির একটি সংক্ষিপ্তসার। এই ক্ষমতাগুলি অ্যান্ড্রয়েডে সুরক্ষিত দুর্বলতাগুলি সফলভাবে কাজে লাগানো সম্ভাবনা হ্রাস করে।
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণগুলিতে উন্নতি করে অ্যান্ড্রয়েডে অনেকগুলি বিষয়গুলির শোষণকে আরও শক্ত করে তোলা হয়েছে। আমরা সমস্ত ব্যবহারকারীদের যেখানে সম্ভব সেখানে অ্যান্ড্রয়েডের সর্বশেষতম সংস্করণে আপডেট করতে উত্সাহিত করি।
- অ্যান্ড্রয়েড সুরক্ষা দলটি যাচাই করা অ্যাপ্লিকেশন এবং সেফটি নেট থেকে অপব্যবহারের জন্য সক্রিয়ভাবে পর্যবেক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশনগুলি ইনস্টল হওয়া সম্পর্কে সতর্ক করবে। গুগল প্লেতে ডিভাইস রুট করার সরঞ্জামগুলি নিষিদ্ধ। গুগল প্লে এর বাইরে থেকে অ্যাপ্লিকেশন ইনস্টল করা ব্যবহারকারীদের সুরক্ষার জন্য, ভেরিফাই অ্যাপস ডিফল্টরূপে সক্ষম হয় এবং ব্যবহারকারীদের জানা মূল অ্যাপ্লিকেশন সম্পর্কে সতর্ক করবে। অ্যাপ্লিকেশনগুলি কোনও সুবিধাসমূহ বাড়ানোর দুর্বলতা কাজে লাগিয়ে জানা দূষিত অ্যাপ্লিকেশনগুলির সনাক্তকরণ এবং ব্লক করার প্রচেষ্টাগুলিকে যাচাই করুন। যদি এই জাতীয় অ্যাপ্লিকেশন ইতিমধ্যে ইনস্টল করা হয়ে থাকে, যাচাই করুন অ্যাপ্লিকেশন ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় অ্যাপ্লিকেশনগুলি সরানোর চেষ্টা করবে।
- যথাযথ হিসাবে, গুগল হ্যাংআউট এবং ম্যাসেঞ্জার অ্যাপ্লিকেশনগুলি মিডিয়ায়সভারের মতো প্রক্রিয়াগুলিতে মিডিয়া স্বয়ংক্রিয়ভাবে পাস করে না।
স্বীকৃতি
আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:
- গুগল ক্রোম সুরক্ষা টিমের অভিষেক আর্য, অলিভার চ্যাং, এবং মার্টিন বারবেলা: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , সিভিই -2017-6634
- কেনটিয়াম ( @ কে 33 এনটিম ) এর ফ্ল্যাঙ্কার ( @ ফ্ল্যাঙ্কার_এইচকিডি ): সিভিই-2015-6620
- কিহু 360 প্রযুক্তি কোল্ড-এর গুয়াং গং (old 广) ( @ ওল্ডফ্রেসার , হিঙ্গোংগাং @ gmail.com): সিভিই -2017-6626
- এম্বার মিত্রে লিমিটেডের মার্ক কার্টার ( @ হানপিংচিনিস ): সিভিই -2017-6630
- মিশা বেদনারস্কি ( https://github.com/michalbednarski ): CVE-2015-6621
- গুগল প্রকল্প জিরোর নাটালি সিলভানোভিচ: সিভিই -2017-6616
- ট্রেন্ড মাইক্রো এর পিটার পাই: CVE-2015-6616, CVE-2015-6628
- Qidan তিনি ( @flanker_hqd ) এবং মার্কো গ্রাসি ( @marcograss এর) KeenTeam ( @ K33nTeam ): জন্য CVE-2015-6622
- তজু-ইয়িন (নিনা) তাই: সিভিই -2017-6627
- ফান্ডাসেইন ডাঃ ম্যানুয়েল সাদোস্কি, বুয়েনস আইরেস, আর্জেন্টিনা: প্রোগ্রামা এসটিআইসি এর জাকান রিনাউডো ( @ এক্সেরক্সনির ): সিভিই -2017-6-61
- বাইদু এক্স-টিমের ওয়াংটাও (নিওবাইট): সিভিই -2017-6626
সুরক্ষা ক্ষতিগ্রস্থতার বিশদ
নীচের বিভাগগুলিতে, আমরা সুরক্ষা দুর্বলতার জন্য বিশদ সরবরাহ করি যা 2015-12-01 প্যাচ স্তরের ক্ষেত্রে প্রযোজ্য। ইস্যুটির বিবরণ, তীব্রতার যৌক্তিকতা এবং সিভিই, সম্পর্কিত বাগ, তীব্রতা, আপডেট হওয়া সংস্করণ এবং প্রতিবেদন করা তারিখ সহ একটি টেবিল রয়েছে। যখন উপলভ্য হবে, তখন আমরা এওএসপি পরিবর্তনের সাথে সংযোগ করব যা এই সমস্যাটিকে বাগ আইডিতে যুক্ত করেছে। যখন একাধিক পরিবর্তন একক বাগের সাথে সম্পর্কিত হয়, অতিরিক্ত এওএসপি রেফারেন্সগুলি বাগ আইডির পরে সংখ্যার সাথে লিঙ্ক করা হয়।
মিডিয়াসেভারে রিমোট কোড এক্সিকিউশন অরক্ষ্যতা
মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি কারিগরী ফাইলটির ডেটা প্রসেসিংয়ের সময়, মিডিয়াসিভারের দুর্বলতাগুলি আক্রমণকারীকে মেমরি দুর্নীতি এবং রিমোট কোড এক্সিকিউশনকে মধ্যস্থতাকারী প্রক্রিয়া হিসাবে মঞ্জুর করতে পারে।
প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা দূরবর্তী সামগ্রীতে এটি পৌঁছানোর অনুমতি দেয়, বিশেষত এমএমএস এবং মিডিয়াটির ব্রাউজার প্লেব্যাক।
মিডিয়াসেভার সার্ভিসের প্রসঙ্গে রিমোট কোড প্রয়োগের সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে চিহ্নিত করা হয়েছে। মধ্যস্থতাকারী পরিষেবাটিতে অডিও এবং ভিডিও স্ট্রিমের অ্যাক্সেসের পাশাপাশি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি সাধারণত অ্যাক্সেস করতে পারে না এমন সুবিধাগুলি অ্যাক্সেস করতে পারে।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6616 | Android-24630158 | সমালোচক | 6.0 এবং নীচে | গুগল অভ্যন্তরীণ |
| Android-23882800 | সমালোচক | 6.0 এবং নীচে | গুগল অভ্যন্তরীণ | |
| Android-17769851 69 | সমালোচক | 5.1 এবং নীচে | গুগল অভ্যন্তরীণ | |
| Android-24441553 | সমালোচক | 6.0 এবং নীচে | 22 সেপ্টেম্বর, 2015 | |
| অ্যান্ড্রয়েড-24157524 | সমালোচক | 6.0 | সেপ্টেম্বর 08, 2015 |
স্কিয়ায় রিমোট কোড এক্সিকিউশন অরক্ষারতা
বিশেষত কারুকৃত মিডিয়া ফাইল প্রক্রিয়াকরণের সময় স্কিয়া উপাদানটির দুর্বলতা বাড়ানো যেতে পারে, যা কোনও সুবিধাযুক্ত প্রক্রিয়াতে মেমরির দুর্নীতি এবং রিমোট কোড কার্যকর করতে পারে। মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক আক্রমণ পদ্ধতির মাধ্যমে রিমোট কোড প্রয়োগের সম্ভাবনার কারণে এই সমস্যাটিকে তীব্র তীব্রতা হিসাবে চিহ্নিত করা হয়।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | সমালোচক | 6.0 এবং নীচে | গুগল অভ্যন্তরীণ |
কার্নেল এ প্রিভিলেজ এর উচ্চতা
সিস্টেম কার্নেলের সুবিধার্থে দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে ডিভাইসের মূল প্রসঙ্গে প্রবণতা কোড চালাতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে চিহ্নিত করা হয়েছে এবং কেবলমাত্র অপারেটিং সিস্টেমটিকে পুনরায় ফ্ল্যাশ করে ডিভাইসটি মেরামত করা যেতে পারে।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6619 | Android-23520714 | সমালোচক | 6.0 এবং নীচে | জুন 7, 2015 |
ডিসপ্লে ড্রাইভারে রিমোট কোড এক্সিকিউশন অরক্ষ্যতা
ডিসপ্লে ড্রাইভারগুলির মধ্যে এমন দুর্বলতা রয়েছে যেগুলি যখন কোনও মিডিয়া ফাইল প্রসেসিং করা হয় তখন মিডিয়ায়সভার দ্বারা লোড হওয়া ব্যবহারকারী মোড ড্রাইভারের প্রসঙ্গে মেমরির দুর্নীতি এবং সম্ভাব্য স্বেচ্ছাচারিত কোড কার্যকর করতে পারে। মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক আক্রমণ পদ্ধতির মাধ্যমে রিমোট কোড প্রয়োগের সম্ভাবনার কারণে এই সমস্যাটিকে তীব্র তীব্রতা হিসাবে চিহ্নিত করা হয়।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6633 | Android-23987307 * | সমালোচক | 6.0 এবং নীচে | গুগল অভ্যন্তরীণ |
| CVE-2015-6634 | Android-24163261 [ 2 ] [ 3 ] [ 4 ] | সমালোচক | 5.1 এবং নীচে | গুগল অভ্যন্তরীণ |
* এই ইস্যুটির প্যাচ এওএসপিতে নেই। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে রয়েছে।
ব্লুটুথে রিমোট কোড এক্সিকিউশন অরক্ষারতা
অ্যান্ড্রয়েডের ব্লুটুথ উপাদানটির একটি দুর্বলতা দূরবর্তী কোড প্রয়োগের অনুমতি দিতে পারে। তবে এটি হওয়ার আগে একাধিক ম্যানুয়াল পদক্ষেপের প্রয়োজন। এটি করার জন্য, ব্যক্তিগত অঞ্চল নেটওয়ার্ক (প্যান) প্রোফাইল সক্ষম হওয়ার পরে (উদাহরণস্বরূপ ব্লুটুথ টিথারিং ব্যবহার করে) এবং ডিভাইসটি জোড়া তৈরি করার পরে এটির জন্য একটি সফলভাবে যুক্ত করা ডিভাইস প্রয়োজন। রিমোট কোড এক্সিকিউশনটি ব্লুটুথ পরিষেবাটির সুবিধার্থে হবে। স্থানীয় নিকটে থাকাকালীন কোনও সাফল্যের সাথে যুক্ত জোড় করা ডিভাইস থেকে কোনও ডিভাইসই এই সমস্যাটিতে ঝুঁকিপূর্ণ।
এই বিষয়টিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এক আক্রমণকারী একাধিক ম্যানুয়াল পদক্ষেপ গ্রহণের পরে এবং স্থানীয়ভাবে একটি আনুমানিক আক্রমণকারী যাকে আগে কোনও ডিভাইস জোড়া দেওয়ার অনুমতি দেওয়া হয়েছিল কেবল তখন থেকেই নির্বিচারে কোড নির্বাহ করতে পারে।
| সিভিই | বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6618 | Android-24595992 * | উচ্চ | 4.4, 5.0, এবং 5.1 | সেপ্টেম্বর 28, 2015 |
* এই ইস্যুটির প্যাচ এওএসপিতে নেই। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে রয়েছে।
লিবিস্টেজফ্রেটে প্রাইভেলিজ অপদার্থগুলির উচ্চতা
লিবিস্টেজফ্রেটে একাধিক দুর্বলতা রয়েছে যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে মধ্যস্থতাকারী পরিষেবার পরিপ্রেক্ষিতে স্বেচ্ছাচারিত কোড কার্যকর করতে সক্ষম করতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6620 | Android-24123723 | উচ্চ | 6.0 এবং নীচে | সেপ্টেম্বর 10, 2015 |
| Android-24445127 | উচ্চ | 6.0 এবং নীচে | সেপ্টেম্বর 2, 2015 |
SystemUI- এ প্রাইভেলিজ ভ্লানারেবিলিটির উচ্চতা
ক্লক অ্যাপ্লিকেশনটি ব্যবহার করে অ্যালার্ম সেট করার সময়, সিস্টেম ইউআই উপাদানটির একটি দুর্বলতা কোনও অ্যাপ্লিকেশনকে একটি উন্নত সুবিধাসমূহ পর্যায়ে কোনও কার্য সম্পাদন করতে দেয়। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6621 | এন্ড্রয়েড -23909438 | উচ্চ | 5.0, 5.1, এবং 6.0 | সেপ্টেম্বর 7, 2015 |
নেটিভ ফ্রেমওয়ার্ক লাইব্রেরিতে তথ্য প্রকাশের দুর্বলতা
অ্যান্ড্রয়েড নেটিভ ফ্রেমওয়ার্ক লাইব্রেরিতে একটি তথ্য প্রকাশের দুর্বলতা প্লাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়ানোর জন্য সুরক্ষা ব্যবস্থার একটি বাইপাসকে অনুমতি দিতে পারে। এই বিষয়গুলিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এগুলি স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির সুবিধা হিসাবে তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় যেমন উন্নত ক্ষমতা অর্জন করতেও ব্যবহৃত হতে পারে।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6622 | Android-23905002 | উচ্চ | 6.0 এবং নীচে | সেপ্টেম্বর 7, 2015 |
ওয়াই-ফাইতে প্রাইভেলিজ দুর্বলতার উচ্চতা
ওয়াই-ফাইতে সুবিধাবঞ্চিত দুর্বলতার একটি উন্নতি স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে একটি উন্নত সিস্টেম পরিষেবার পরিপ্রেক্ষিতে স্বেচ্ছাচারিত কোড কার্যকর করতে সক্ষম করতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনটিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা স্বাক্ষরঅরসিস্টেমের অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহৃত হতে পারে।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6623 | এন্ড্রয়েড-24872703 | উচ্চ | 6.0 | গুগল অভ্যন্তরীণ |
সিস্টেম সার্ভারে প্রাইভেলিজ ভ্লানারেবিলিটির উচ্চতা
সিস্টেম সার্ভার উপাদানটিতে সুবিধাবঞ্চিত দুর্বলতার উচ্চতা কোনও স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে পরিষেবা সম্পর্কিত তথ্য অ্যাক্সেস পেতে সক্ষম করতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমোদনের সুবিধার মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহৃত হতে পারে।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6624 | Android-23999740 | উচ্চ | 6.0 | গুগল অভ্যন্তরীণ |
লিবস্টেজফ্রেটে তথ্য প্রকাশের দুর্বলতা
লিবিস্টেজেট্রাইটে তথ্য প্রকাশের দুর্বলতাগুলি রয়েছে যে মিডিয়াজারের সাথে যোগাযোগের সময়, প্ল্যাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়ানোর জন্য সুরক্ষা ব্যবস্থাগুলির একটি বাইপাসকে অনুমতি দেওয়া যেতে পারে। এই বিষয়গুলিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এগুলি স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির সুবিধা হিসাবে তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় যেমন উন্নত ক্ষমতা অর্জন করতেও ব্যবহৃত হতে পারে।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6632 | Android-24346430 | উচ্চ | 6.0 এবং নীচে | গুগল অভ্যন্তরীণ |
| CVE-2015-6626 | Android-24310423 | উচ্চ | 6.0 এবং নীচে | সেপ্টেম্বর 2, 2015 |
| CVE-2015-6631 | Android-24623447 | উচ্চ | 6.0 এবং নীচে | আগস্ট 21, 2015 |
অডিওতে তথ্য প্রকাশের দুর্বলতা
অডিও ফাইল প্রসেসিংয়ের সময় অডিও উপাদানটির একটি দুর্বলতা কাজে লাগানো যেতে পারে। এই দুর্বলতা একটি বিশেষত কারুকৃত ফাইলের প্রক্রিয়া চলাকালীন কোনও স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে তথ্য প্রকাশের কারণ হতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহৃত হতে পারে।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6627 | Android-24211743 | উচ্চ | 6.0 এবং নীচে | গুগল অভ্যন্তরীণ |
মিডিয়া ফ্রেমওয়ার্কে তথ্য প্রকাশের দুর্বলতা
মিডিয়া ফ্রেমওয়ার্কে একটি তথ্য প্রকাশের দুর্বলতা রয়েছে যে মিডিয়াসরবারের সাথে যোগাযোগের সময়, প্ল্যাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়ানোর জন্য সুরক্ষা ব্যবস্থা গ্রহণের বাইপাসকে অনুমতি দেওয়া যেতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতেও ব্যবহৃত হতে পারে।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6628 | অ্যান্ড্রয়েড-24074485 | উচ্চ | 6.0 এবং নীচে | সেপ্টেম্বর 8, 2015 |
ওয়াই ফাইতে তথ্য প্রকাশের দুর্বলতা
ওয়াই-ফাই উপাদানটির একটি দুর্বলতা আক্রমণকারীকে ওয়াই-ফাই পরিষেবাটি তথ্য প্রকাশের কারণ হতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6629 | Android-22667667 | উচ্চ | 5.1 এবং 5.0 | গুগল অভ্যন্তরীণ |
সিস্টেম সার্ভারে প্রাইভেলিজ ভ্লানারেবিলিটির উচ্চতা
সিস্টেম সার্ভারে সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে ওয়াই-ফাই পরিষেবা সম্পর্কিত তথ্য অ্যাক্সেস পেতে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি ভুলভাবে " বিপজ্জনক " অনুমতিগুলি ব্যবহার করতে ব্যবহৃত হতে পারে।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6625 | Android-23936840 | মাঝারি | 6.0 | গুগল অভ্যন্তরীণ |
SystemUI এ তথ্য প্রকাশের দুর্বলতা
সিস্টেম ইউআই-তে একটি তথ্য প্রকাশের দুর্বলতা স্ক্রিনশটগুলিতে অ্যাক্সেস পাওয়ার জন্য স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি ভুলভাবে " বিপজ্জনক " অনুমতিগুলি ব্যবহার করতে ব্যবহৃত হতে পারে।
| সিভিই | এওএসপি লিঙ্ক সহ বাগ (গুলি) | নির্দয়তা | আপডেট সংস্করণ | তারিখ রিপোর্ট করা হয়েছে |
|---|---|---|---|---|
| CVE-2015-6630 | Android-19121797 | মাঝারি | 5.0, 5.1, এবং 6.0 | জানুয়ারী 22, 2015 |
সাধারণ প্রশ্ন এবং উত্তর
এই বিভাগটি এই বুলেটিনটি পড়ার পরে দেখা দিতে পারে এমন সাধারণ প্রশ্নের উত্তরগুলির পর্যালোচনা করবে।
1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?
1 ডিসেম্বর, 2015 বা এর পরে সুরক্ষা প্যাচ স্তর সহ এলএমওয়াই 48 জেড বা তার পরে এবং অ্যান্ড্রয়েড 6.0 তৈরি করে issues সুরক্ষা প্যাচ স্তর কীভাবে পরীক্ষা করতে হয় তার নির্দেশাবলীর জন্য নেক্সাস ডকুমেন্টেশন দেখুন । এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস প্রস্তুতকারকদের প্যাচ স্ট্রিং স্তরটি এতে নির্ধারণ করা উচিত: [ro.build.version.security_patch]: [2015-12-01]
সংশোধন
- ডিসেম্বর 07, 2015: মূলত প্রকাশিত
- ডিসেম্বর 09, 2015: বুলেটিন এওএসপি লিঙ্কগুলি অন্তর্ভুক্ত করতে সংশোধিত।
- ডিসেম্বর 22, 2015: স্বীকৃতি বিভাগে অনুপস্থিত creditণ যোগ করা হয়েছে।
- মার্চ 07, 2016: স্বীকৃতি বিভাগে অনুপস্থিত creditণ যোগ করা হয়েছে।