নেক্সাস সুরক্ষা বুলেটিন - ডিসেম্বর 2015

07 ডিসেম্বর, 2015 প্রকাশিত | মার্চ 7, 2016 আপডেট হয়েছে

আমরা আমাদের অ্যান্ড্রয়েড সুরক্ষা বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসাবে একটি ওভার-দ্য এয়ার (ওটিএ) আপডেটের মাধ্যমে নেক্সাস ডিভাইসে একটি সুরক্ষা আপডেট প্রকাশ করেছি released নেক্সাস ফার্মওয়্যার চিত্রগুলিও Google বিকাশকারী সাইটে প্রকাশ করা হয়েছে। 1 ডিসেম্বর, 2015 বা এর পরে সুরক্ষা প্যাচ স্তর সহ এলএমওয়াই 48 জেড বা তার পরে এবং অ্যান্ড্রয়েড 6.0 তৈরি করে issues আরও তথ্যের জন্য সাধারণ প্রশ্ন এবং উত্তর বিভাগ দেখুন।

অংশীদারদের সম্পর্কে জানানো হয়েছিল এবং 2 নভেম্বর, 2015 বা এর আগেও এই বিষয়গুলির জন্য আপডেট সরবরাহ করা হয়েছিল। প্রযোজ্য যেখানে এই সমস্যাগুলির জন্য উত্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রকল্প (এওএসপি) সংগ্রহস্থলে প্রকাশ করা হয়েছে।

এই সমস্যাগুলির মধ্যে সবচেয়ে মারাত্মক হ'ল একটি সমালোচনামূলক সুরক্ষা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে রিমোট কোড কার্যকর করতে সক্ষম করে। তীব্রতা মূল্যায়ন এই প্রভাবকে ভিত্তিতে তৈরি করা হয় যে দুর্বলতা কাজে লাগানো সম্ভবত কোনও প্রভাবিত ডিভাইসে থাকতে পারে, ধরে নিই প্ল্যাটফর্ম এবং পরিষেবাটি হ্রাসগুলি বিকাশের উদ্দেশ্যে বা যদি সাফল্যের সাথে অতিক্রম করা হয় তবে অক্ষম রয়েছে।

আমাদের কাছে এই নতুন রিপোর্ট হওয়া সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। অ্যান্ড্রয়েড প্ল্যাটফর্মের সুরক্ষা উন্নতকারী অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটি নেট হিসাবে পরিষেবা সুরক্ষা সম্পর্কিত বিশদগুলির জন্য প্রশমন বিভাগটি দেখুন। আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি।

প্রশমন

এটি অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম এবং সেফটি নেট হিসাবে পরিষেবা সুরক্ষার দ্বারা সরবরাহিত প্রশমনগুলির একটি সংক্ষিপ্তসার। এই ক্ষমতাগুলি অ্যান্ড্রয়েডে সুরক্ষিত দুর্বলতাগুলি সফলভাবে কাজে লাগানো সম্ভাবনা হ্রাস করে।

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণগুলিতে উন্নতি করে অ্যান্ড্রয়েডে অনেকগুলি বিষয়গুলির শোষণকে আরও শক্ত করে তোলা হয়েছে। আমরা সমস্ত ব্যবহারকারীদের যেখানে সম্ভব সেখানে অ্যান্ড্রয়েডের সর্বশেষতম সংস্করণে আপডেট করতে উত্সাহিত করি।
  • অ্যান্ড্রয়েড সুরক্ষা দলটি যাচাই করা অ্যাপ্লিকেশন এবং সেফটি নেট থেকে অপব্যবহারের জন্য সক্রিয়ভাবে পর্যবেক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশনগুলি ইনস্টল হওয়া সম্পর্কে সতর্ক করবে। গুগল প্লেতে ডিভাইস রুট করার সরঞ্জামগুলি নিষিদ্ধ। গুগল প্লে এর বাইরে থেকে অ্যাপ্লিকেশন ইনস্টল করা ব্যবহারকারীদের সুরক্ষার জন্য, ভেরিফাই অ্যাপস ডিফল্টরূপে সক্ষম হয় এবং ব্যবহারকারীদের জানা মূল অ্যাপ্লিকেশন সম্পর্কে সতর্ক করবে। অ্যাপ্লিকেশনগুলি কোনও সুবিধাসমূহ বাড়ানোর দুর্বলতা কাজে লাগিয়ে জানা দূষিত অ্যাপ্লিকেশনগুলির সনাক্তকরণ এবং ব্লক করার প্রচেষ্টাগুলিকে যাচাই করুন। যদি এই জাতীয় অ্যাপ্লিকেশন ইতিমধ্যে ইনস্টল করা হয়ে থাকে, যাচাই করুন অ্যাপ্লিকেশন ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় অ্যাপ্লিকেশনগুলি সরানোর চেষ্টা করবে।
  • যথাযথ হিসাবে, গুগল হ্যাংআউট এবং ম্যাসেঞ্জার অ্যাপ্লিকেশনগুলি মিডিয়ায়সভারের মতো প্রক্রিয়াগুলিতে মিডিয়া স্বয়ংক্রিয়ভাবে পাস করে না।

স্বীকৃতি

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

সুরক্ষা ক্ষতিগ্রস্থতার বিশদ

নীচের বিভাগগুলিতে, আমরা সুরক্ষা দুর্বলতার জন্য বিশদ সরবরাহ করি যা 2015-12-01 প্যাচ স্তরের ক্ষেত্রে প্রযোজ্য। ইস্যুটির বিবরণ, তীব্রতার যৌক্তিকতা এবং সিভিই, সম্পর্কিত বাগ, তীব্রতা, আপডেট হওয়া সংস্করণ এবং প্রতিবেদন করা তারিখ সহ একটি টেবিল রয়েছে। যখন উপলভ্য হবে, তখন আমরা এওএসপি পরিবর্তনের সাথে সংযোগ করব যা এই সমস্যাটিকে বাগ আইডিতে যুক্ত করেছে। যখন একাধিক পরিবর্তন একক বাগের সাথে সম্পর্কিত হয়, অতিরিক্ত এওএসপি রেফারেন্সগুলি বাগ আইডির পরে সংখ্যার সাথে লিঙ্ক করা হয়।

মিডিয়াসেভারে রিমোট কোড এক্সিকিউশন অরক্ষ্যতা

মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি কারিগরী ফাইলটির ডেটা প্রসেসিংয়ের সময়, মিডিয়াসিভারের দুর্বলতাগুলি আক্রমণকারীকে মেমরি দুর্নীতি এবং রিমোট কোড এক্সিকিউশনকে মধ্যস্থতাকারী প্রক্রিয়া হিসাবে মঞ্জুর করতে পারে।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা দূরবর্তী সামগ্রীতে এটি পৌঁছানোর অনুমতি দেয়, বিশেষত এমএমএস এবং মিডিয়াটির ব্রাউজার প্লেব্যাক।

মিডিয়াসেভার সার্ভিসের প্রসঙ্গে রিমোট কোড প্রয়োগের সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে চিহ্নিত করা হয়েছে। মধ্যস্থতাকারী পরিষেবাটিতে অডিও এবং ভিডিও স্ট্রিমের অ্যাক্সেসের পাশাপাশি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি সাধারণত অ্যাক্সেস করতে পারে না এমন সুবিধাগুলি অ্যাক্সেস করতে পারে।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6616 Android-24630158 সমালোচক 6.0 এবং নীচে গুগল অভ্যন্তরীণ
Android-23882800 সমালোচক 6.0 এবং নীচে গুগল অভ্যন্তরীণ
Android-17769851 69 সমালোচক 5.1 এবং নীচে গুগল অভ্যন্তরীণ
Android-24441553 সমালোচক 6.0 এবং নীচে 22 সেপ্টেম্বর, 2015
অ্যান্ড্রয়েড-24157524 সমালোচক 6.0 সেপ্টেম্বর 08, 2015

স্কিয়ায় রিমোট কোড এক্সিকিউশন অরক্ষারতা

বিশেষত কারুকৃত মিডিয়া ফাইল প্রক্রিয়াকরণের সময় স্কিয়া উপাদানটির দুর্বলতা বাড়ানো যেতে পারে, যা কোনও সুবিধাযুক্ত প্রক্রিয়াতে মেমরির দুর্নীতি এবং রিমোট কোড কার্যকর করতে পারে। মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক আক্রমণ পদ্ধতির মাধ্যমে রিমোট কোড প্রয়োগের সম্ভাবনার কারণে এই সমস্যাটিকে তীব্র তীব্রতা হিসাবে চিহ্নিত করা হয়।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6617 ANDROID-23648740 সমালোচক 6.0 এবং নীচে গুগল অভ্যন্তরীণ

কার্নেল এ প্রিভিলেজ এর উচ্চতা

সিস্টেম কার্নেলের সুবিধার্থে দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে ডিভাইসের মূল প্রসঙ্গে প্রবণতা কোড চালাতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে চিহ্নিত করা হয়েছে এবং কেবলমাত্র অপারেটিং সিস্টেমটিকে পুনরায় ফ্ল্যাশ করে ডিভাইসটি মেরামত করা যেতে পারে।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6619 Android-23520714 সমালোচক 6.0 এবং নীচে জুন 7, 2015

ডিসপ্লে ড্রাইভারে রিমোট কোড এক্সিকিউশন অরক্ষ্যতা

ডিসপ্লে ড্রাইভারগুলির মধ্যে এমন দুর্বলতা রয়েছে যেগুলি যখন কোনও মিডিয়া ফাইল প্রসেসিং করা হয় তখন মিডিয়ায়সভার দ্বারা লোড হওয়া ব্যবহারকারী মোড ড্রাইভারের প্রসঙ্গে মেমরির দুর্নীতি এবং সম্ভাব্য স্বেচ্ছাচারিত কোড কার্যকর করতে পারে। মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক আক্রমণ পদ্ধতির মাধ্যমে রিমোট কোড প্রয়োগের সম্ভাবনার কারণে এই সমস্যাটিকে তীব্র তীব্রতা হিসাবে চিহ্নিত করা হয়।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6633 Android-23987307 * সমালোচক 6.0 এবং নীচে গুগল অভ্যন্তরীণ
CVE-2015-6634 Android-24163261 [ 2 ] [ 3 ] [ 4 ] সমালোচক 5.1 এবং নীচে গুগল অভ্যন্তরীণ

* এই ইস্যুটির প্যাচ এওএসপিতে নেই। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে রয়েছে।

ব্লুটুথে রিমোট কোড এক্সিকিউশন অরক্ষারতা

অ্যান্ড্রয়েডের ব্লুটুথ উপাদানটির একটি দুর্বলতা দূরবর্তী কোড প্রয়োগের অনুমতি দিতে পারে। তবে এটি হওয়ার আগে একাধিক ম্যানুয়াল পদক্ষেপের প্রয়োজন। এটি করার জন্য, ব্যক্তিগত অঞ্চল নেটওয়ার্ক (প্যান) প্রোফাইল সক্ষম হওয়ার পরে (উদাহরণস্বরূপ ব্লুটুথ টিথারিং ব্যবহার করে) এবং ডিভাইসটি জোড়া তৈরি করার পরে এটির জন্য একটি সফলভাবে যুক্ত করা ডিভাইস প্রয়োজন। রিমোট কোড এক্সিকিউশনটি ব্লুটুথ পরিষেবাটির সুবিধার্থে হবে। স্থানীয় নিকটে থাকাকালীন কোনও সাফল্যের সাথে যুক্ত জোড় করা ডিভাইস থেকে কোনও ডিভাইসই এই সমস্যাটিতে ঝুঁকিপূর্ণ।

এই বিষয়টিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এক আক্রমণকারী একাধিক ম্যানুয়াল পদক্ষেপ গ্রহণের পরে এবং স্থানীয়ভাবে একটি আনুমানিক আক্রমণকারী যাকে আগে কোনও ডিভাইস জোড়া দেওয়ার অনুমতি দেওয়া হয়েছিল কেবল তখন থেকেই নির্বিচারে কোড নির্বাহ করতে পারে।

সিভিই বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6618 Android-24595992 * উচ্চ 4.4, 5.0, এবং 5.1 সেপ্টেম্বর 28, 2015

* এই ইস্যুটির প্যাচ এওএসপিতে নেই। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে রয়েছে।

লিবিস্টেজফ্রেটে প্রাইভেলিজ অপদার্থগুলির উচ্চতা

লিবিস্টেজফ্রেটে একাধিক দুর্বলতা রয়েছে যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে মধ্যস্থতাকারী পরিষেবার পরিপ্রেক্ষিতে স্বেচ্ছাচারিত কোড কার্যকর করতে সক্ষম করতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6620 Android-24123723 উচ্চ 6.0 এবং নীচে সেপ্টেম্বর 10, 2015
Android-24445127 উচ্চ 6.0 এবং নীচে সেপ্টেম্বর 2, 2015

SystemUI- এ প্রাইভেলিজ ভ্লানারেবিলিটির উচ্চতা

ক্লক অ্যাপ্লিকেশনটি ব্যবহার করে অ্যালার্ম সেট করার সময়, সিস্টেম ইউআই উপাদানটির একটি দুর্বলতা কোনও অ্যাপ্লিকেশনকে একটি উন্নত সুবিধাসমূহ পর্যায়ে কোনও কার্য সম্পাদন করতে দেয়। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6621 এন্ড্রয়েড -23909438 উচ্চ 5.0, 5.1, এবং 6.0 সেপ্টেম্বর 7, 2015

নেটিভ ফ্রেমওয়ার্ক লাইব্রেরিতে তথ্য প্রকাশের দুর্বলতা

অ্যান্ড্রয়েড নেটিভ ফ্রেমওয়ার্ক লাইব্রেরিতে একটি তথ্য প্রকাশের দুর্বলতা প্লাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়ানোর জন্য সুরক্ষা ব্যবস্থার একটি বাইপাসকে অনুমতি দিতে পারে। এই বিষয়গুলিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এগুলি স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির সুবিধা হিসাবে তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় যেমন উন্নত ক্ষমতা অর্জন করতেও ব্যবহৃত হতে পারে।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6622 Android-23905002 উচ্চ 6.0 এবং নীচে সেপ্টেম্বর 7, 2015

ওয়াই-ফাইতে প্রাইভেলিজ দুর্বলতার উচ্চতা

ওয়াই-ফাইতে সুবিধাবঞ্চিত দুর্বলতার একটি উন্নতি স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে একটি উন্নত সিস্টেম পরিষেবার পরিপ্রেক্ষিতে স্বেচ্ছাচারিত কোড কার্যকর করতে সক্ষম করতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনটিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা স্বাক্ষরঅরসিস্টেমের অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহৃত হতে পারে।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6623 এন্ড্রয়েড-24872703 উচ্চ 6.0 গুগল অভ্যন্তরীণ

সিস্টেম সার্ভারে প্রাইভেলিজ ভ্লানারেবিলিটির উচ্চতা

সিস্টেম সার্ভার উপাদানটিতে সুবিধাবঞ্চিত দুর্বলতার উচ্চতা কোনও স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে পরিষেবা সম্পর্কিত তথ্য অ্যাক্সেস পেতে সক্ষম করতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমোদনের সুবিধার মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহৃত হতে পারে।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6624 Android-23999740 উচ্চ 6.0 গুগল অভ্যন্তরীণ

লিবস্টেজফ্রেটে তথ্য প্রকাশের দুর্বলতা

লিবিস্টেজেট্রাইটে তথ্য প্রকাশের দুর্বলতাগুলি রয়েছে যে মিডিয়াজারের সাথে যোগাযোগের সময়, প্ল্যাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়ানোর জন্য সুরক্ষা ব্যবস্থাগুলির একটি বাইপাসকে অনুমতি দেওয়া যেতে পারে। এই বিষয়গুলিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এগুলি স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির সুবিধা হিসাবে তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় যেমন উন্নত ক্ষমতা অর্জন করতেও ব্যবহৃত হতে পারে।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6632 Android-24346430 উচ্চ 6.0 এবং নীচে গুগল অভ্যন্তরীণ
CVE-2015-6626 Android-24310423 উচ্চ 6.0 এবং নীচে সেপ্টেম্বর 2, 2015
CVE-2015-6631 Android-24623447 উচ্চ 6.0 এবং নীচে আগস্ট 21, 2015

অডিওতে তথ্য প্রকাশের দুর্বলতা

অডিও ফাইল প্রসেসিংয়ের সময় অডিও উপাদানটির একটি দুর্বলতা কাজে লাগানো যেতে পারে। এই দুর্বলতা একটি বিশেষত কারুকৃত ফাইলের প্রক্রিয়া চলাকালীন কোনও স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে তথ্য প্রকাশের কারণ হতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহৃত হতে পারে।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6627 Android-24211743 উচ্চ 6.0 এবং নীচে গুগল অভ্যন্তরীণ

মিডিয়া ফ্রেমওয়ার্কে তথ্য প্রকাশের দুর্বলতা

মিডিয়া ফ্রেমওয়ার্কে একটি তথ্য প্রকাশের দুর্বলতা রয়েছে যে মিডিয়াসরবারের সাথে যোগাযোগের সময়, প্ল্যাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়ানোর জন্য সুরক্ষা ব্যবস্থা গ্রহণের বাইপাসকে অনুমতি দেওয়া যেতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতেও ব্যবহৃত হতে পারে।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6628 অ্যান্ড্রয়েড-24074485 উচ্চ 6.0 এবং নীচে সেপ্টেম্বর 8, 2015

ওয়াই ফাইতে তথ্য প্রকাশের দুর্বলতা

ওয়াই-ফাই উপাদানটির একটি দুর্বলতা আক্রমণকারীকে ওয়াই-ফাই পরিষেবাটি তথ্য প্রকাশের কারণ হতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6629 Android-22667667 উচ্চ 5.1 এবং 5.0 গুগল অভ্যন্তরীণ

সিস্টেম সার্ভারে প্রাইভেলিজ ভ্লানারেবিলিটির উচ্চতা

সিস্টেম সার্ভারে সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে ওয়াই-ফাই পরিষেবা সম্পর্কিত তথ্য অ্যাক্সেস পেতে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি ভুলভাবে " বিপজ্জনক " অনুমতিগুলি ব্যবহার করতে ব্যবহৃত হতে পারে।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6625 Android-23936840 মাঝারি 6.0 গুগল অভ্যন্তরীণ

SystemUI এ তথ্য প্রকাশের দুর্বলতা

সিস্টেম ইউআই-তে একটি তথ্য প্রকাশের দুর্বলতা স্ক্রিনশটগুলিতে অ্যাক্সেস পাওয়ার জন্য স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি ভুলভাবে " বিপজ্জনক " অনুমতিগুলি ব্যবহার করতে ব্যবহৃত হতে পারে।

সিভিই এওএসপি লিঙ্ক সহ বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2015-6630 Android-19121797 মাঝারি 5.0, 5.1, এবং 6.0 জানুয়ারী 22, 2015

সাধারণ প্রশ্ন এবং উত্তর

এই বিভাগটি এই বুলেটিনটি পড়ার পরে দেখা দিতে পারে এমন সাধারণ প্রশ্নের উত্তরগুলির পর্যালোচনা করবে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

1 ডিসেম্বর, 2015 বা এর পরে সুরক্ষা প্যাচ স্তর সহ এলএমওয়াই 48 জেড বা তার পরে এবং অ্যান্ড্রয়েড 6.0 তৈরি করে issues সুরক্ষা প্যাচ স্তর কীভাবে পরীক্ষা করতে হয় তার নির্দেশাবলীর জন্য নেক্সাস ডকুমেন্টেশন দেখুন । এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস প্রস্তুতকারকদের প্যাচ স্ট্রিং স্তরটি এতে নির্ধারণ করা উচিত: [ro.build.version.security_patch]: [2015-12-01]

সংশোধন

  • ডিসেম্বর 07, 2015: মূলত প্রকাশিত
  • ডিসেম্বর 09, 2015: বুলেটিন এওএসপি লিঙ্কগুলি অন্তর্ভুক্ত করতে সংশোধিত।
  • ডিসেম্বর 22, 2015: স্বীকৃতি বিভাগে অনুপস্থিত creditণ যোগ করা হয়েছে।
  • মার্চ 07, 2016: স্বীকৃতি বিভাগে অনুপস্থিত creditণ যোগ করা হয়েছে।