গুগল কালো সম্প্রদায়ের জন্য জাতিগত সমতা উন্নয়নে প্রতিশ্রুতিবদ্ধ। দেখ কিভাবে.
This page was translated by the Cloud Translation API.
Switch to English

নেক্সাস সুরক্ষা বুলেটিন - মার্চ 2016 March

07 মার্চ, 2016 প্রকাশিত | মার্চ 08, 2016 আপডেট হয়েছে

আমরা আমাদের অ্যান্ড্রয়েড সুরক্ষা বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসাবে একটি ওভার-দ্য এয়ার (ওটিএ) আপডেটের মাধ্যমে নেক্সাস ডিভাইসগুলিতে একটি সুরক্ষা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যার চিত্রগুলিও Google বিকাশকারী সাইটে প্রকাশ করা হয়েছে। LMY49H বা তার পরে এবং অ্যান্ড্রয়েড এম মার্চ 01, 2016 এর সুরক্ষা প্যাচ স্তর সহ বা পরে এই সমস্যাগুলি সমাধান করে Build সুরক্ষা প্যাচ স্তর কীভাবে পরীক্ষা করতে হয় তার নির্দেশাবলীর জন্য নেক্সাস ডকুমেন্টেশন দেখুন

অংশীদারদের 1 ফেব্রুয়ারি, 2016 বা তার আগের বুলেটিনে বর্ণিত সমস্যাগুলি সম্পর্কে অবহিত করা হয়েছিল। প্রযোজ্য যেখানে এই সমস্যাগুলির জন্য উত্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রকল্পের (এওএসপি) সংগ্রহস্থলে প্রকাশ করা হয়েছে।

এর মধ্যে সবচেয়ে মারাত্মক সমস্যাটি হল একটি গুরুতর সুরক্ষা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে রিমোট কোড কার্যকর করতে সক্ষম করে। তীব্রতা মূল্যায়ন এই প্রভাবকে ভিত্তিতে তৈরি করা হয় যে দুর্বলতা কাজে লাগানো সম্ভবত কোনও প্রভাবিত ডিভাইসে থাকতে পারে, ধরে নিই প্ল্যাটফর্ম এবং পরিষেবাটি হ্রাসগুলি বিকাশের উদ্দেশ্যে বা যদি সাফল্যের সাথে অতিক্রম করা হয় তবে অক্ষম রয়েছে।

আমাদের কাছে এই নতুন রিপোর্ট হওয়া সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। পড়ুন Mitigations বিস্তারিত অধ্যায় অ্যান্ড্রয়েড নিরাপত্তা প্ল্যাটফর্ম সুরক্ষা এবং এই ধরনের SafetyNet যেমন সেবা সুরক্ষা, যা অ্যান্ড্রয়েড প্ল্যাটফর্ম নিরাপত্তা উন্নত। আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি।

Mitigations

এটি অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম এবং সেফটি নেট হিসাবে পরিষেবা সুরক্ষার দ্বারা সরবরাহিত প্রশমনগুলির একটি সংক্ষিপ্তসার। এই ক্ষমতাগুলি অ্যান্ড্রয়েডে সুরক্ষিত দুর্বলতাগুলি সফলভাবে কাজে লাগানো সম্ভাবনা হ্রাস করে।

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণগুলিতে উন্নতি করে অ্যান্ড্রয়েডে অনেকগুলি বিষয়গুলির শোষণকে আরও শক্ত করে তোলা হয়েছে। আমরা সমস্ত ব্যবহারকারীদের যেখানে সম্ভব সেখানে অ্যান্ড্রয়েডের সর্বশেষতম সংস্করণে আপডেট করতে উত্সাহিত করি।
  • অ্যান্ড্রয়েড সুরক্ষা দলটি যাচাই করা অ্যাপ্লিকেশন এবং সুরক্ষা নেট দিয়ে অপব্যবহারের জন্য সক্রিয়ভাবে পর্যবেক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশনগুলি ইনস্টল হওয়া সম্পর্কে সতর্ক করবে। গুগল প্লেতে ডিভাইস রুট করার সরঞ্জামগুলি নিষিদ্ধ। গুগল প্লে এর বাইরে থেকে অ্যাপ্লিকেশন ইনস্টল করা ব্যবহারকারীদের সুরক্ষার জন্য, ভেরিফাই অ্যাপস ডিফল্টরূপে সক্ষম হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করবে। অ্যাপ্লিকেশনগুলি কোনও বিশেষাধিকার বর্ধনের দুর্বলতা কাজে লাগিয়ে জানা দূষিত অ্যাপ্লিকেশনগুলির সনাক্তকরণ এবং ব্লক করার চেষ্টাগুলি যাচাই করুন। যদি এই জাতীয় অ্যাপ্লিকেশন ইতিমধ্যে ইনস্টল করা হয়ে থাকে, যাচাই করুন অ্যাপ্লিকেশন ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় অ্যাপ্লিকেশনগুলি সরানোর চেষ্টা করবে।
  • যথাযথ হিসাবে, গুগল হ্যাঙ্গআউট এবং ম্যাসেঞ্জার অ্যাপ্লিকেশনগুলি মিডিয়ায়সভারের মতো প্রক্রিয়াগুলিতে মিডিয়া স্বয়ংক্রিয়ভাবে পাস করে না।

প্রাপ্তি স্বীকার

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

  • গুগল ক্রোম সুরক্ষা টিমের অভিষেক আর্য, অলিভার চ্যাং এবং মার্টিন বারবেলা: সিভিই -2016-0815
  • সেনসাস এসএ-এর অ্যানিস্টিস বেচটসৌদিস ( @ আনেস্টিসব ): সিভিই -2016-0816, সিভিই -2016-0824
  • অ্যান্ড্রয়েড সুরক্ষা থেকে চাদ ব্রুবকার: সিভিই -2016-0818 18
  • গুগল প্রকল্প জিরোর মার্ক ব্র্যান্ড: সিভিই -2016-0820
  • মিংজিয়ান ঝোউ ( @ মিঙ্গজিয়ান_ঝু ), চিয়াচিহ উ ( @ চিয়াচিহ_উইউ ), এবং কিহু 360 থেকে সি0আর টিমের জুক্সিয়ান জিয়াং: সিভিই -2016-0826
  • ট্রেন্ড মাইক্রো এর পিটার পাই ( @ হাইস্কোড ): CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • স্কট বাউয়ার ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): সিভিই -2016-0822
  • ট্রেন্ড মাইক্রো ইনক এর শুভ@ ( @ ইচ্ছা_উইউ ): সিভিই -2016-0819
  • ইয়াংঝেং উ ও হুয়াওয়ের টিয়ান লি: সিভিই -2016-0831
  • সিঙ্গাপুর ম্যানেজমেন্ট ইউনিভার্সিটির সু সোম কিওয়ে এবং ইংজিজি লি: সিভিই -2016-0831
  • অ্যান্ড্রয়েড সুরক্ষা টিমের জাচ রিগল ( @ ebeip90 ): সিভিই -2016-0821

সুরক্ষা ক্ষতিগ্রস্থতার বিশদ

নীচের বিভাগগুলিতে, আমরা সুরক্ষা দুর্বলতার জন্য বিশদ সরবরাহ করি যা 2016-03-01 প্যাচ স্তরের ক্ষেত্রে প্রযোজ্য। ইস্যুর বিবরণ, তীব্রতার যৌক্তিক যুক্তি এবং সিভিই সহ একটি টেবিল, সম্পর্কিত বাগ, তীব্রতা, প্রভাবিত সংস্করণ এবং তারিখের প্রতিবেদন রয়েছে। যখন উপলভ্য হবে, তখন আমরা এওএসপি পরিবর্তনের সাথে সংযোগ করব যা এই সমস্যাটিকে বাগ আইডিতে যুক্ত করেছে। যখন একাধিক পরিবর্তন একক বাগের সাথে সম্পর্কিত হয়, অতিরিক্ত এওএসপি রেফারেন্সগুলি বাগ আইডির পরে সংখ্যার সাথে লিঙ্ক করা হয়।

মিডিয়াজার্ভারে রিমোট কোড এক্সিকিউশন অরক্ষারতা

মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি কারিগরী ফাইলটির ডেটা প্রসেসিংয়ের সময়, মিডিয়াসিভারের দুর্বলতাগুলি আক্রমণকারীকে মেমরি দুর্নীতি এবং দূরবর্তী কোড প্রয়োগের মধ্যস্থতাকারী প্রক্রিয়া হিসাবে অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটি দূরবর্তী সামগ্রীতে পৌঁছাতে দেয়, বিশেষত এমএমএস এবং মিডিয়াটির ব্রাউজার প্লেব্যাক।

মিডিয়াসেভার সার্ভিসের প্রসঙ্গে রিমোট কোড প্রয়োগের সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে চিহ্নিত করা হয়েছে। মিডিয়াসেভার সার্ভিসে অডিও এবং ভিডিও স্ট্রিমের অ্যাক্সেসের পাশাপাশি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি সাধারণত অ্যাক্সেস করতে পারে না এমন সুবিধাগুলি অ্যাক্সেস করতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগগুলি নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0815 অ্যান্ড্রয়েড-26365349 সংকটপূর্ণ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ
জন্য CVE-2016-0816 অ্যান্ড্রয়েড-25928803 সংকটপূর্ণ 6.0, 6.0.1 গুগল অভ্যন্তরীণ

Libvpx এ রিমোট কোড এক্সিকিউশন অরক্ষ্যতা

মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি কারিগরী ফাইলটির ডেটা প্রসেসিংয়ের সময়, মিডিয়াসিভারের দুর্বলতাগুলি আক্রমণকারীকে মেমরি দুর্নীতি এবং দূরবর্তী কোড প্রয়োগের মধ্যস্থতাকারী প্রক্রিয়া হিসাবে অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা দূরবর্তী সামগ্রীতে এটি পৌঁছানোর অনুমতি দেয়, বিশেষত এমএমএস এবং মিডিয়াটির ব্রাউজার প্লেব্যাক।

ইস্যুগুলি সমালোচনামূলক তীব্রতা হিসাবে চিহ্নিত করা হয় কারণ তারা মধ্যস্থতাকারী পরিষেবা প্রসঙ্গে রিমোট কোড প্রয়োগের জন্য ব্যবহার করা যেতে পারে। মধ্যস্থতাকারী পরিষেবাটিতে অডিও এবং ভিডিও স্ট্রিমের অ্যাক্সেসের পাশাপাশি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি সাধারণত অ্যাক্সেস করতে পারে না এমন সুযোগ-সুবিধার অ্যাক্সেস পায়।

জন্য CVE এওএসপি লিঙ্কযুক্ত বাগ নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-1621 Android-23452792 [2] [3] সংকটপূর্ণ 4.4.4, 5.0.2, 5.1.1, 6.0 গুগল অভ্যন্তরীণ

কনক্রিপটে প্রিভিলেজের উচ্চতা

কনসক্রিপ্টের একটি দুর্বলতা মধ্যবর্তী শংসাপত্র কর্তৃপক্ষ (সিএ) দ্বারা জারি করা একটি নির্দিষ্ট ধরণের অবৈধ শংসাপত্রকে ভুলভাবে বিশ্বাসযোগ্য হতে পারে। এটি মধ্য-আক্রমণকে ম্যান-ইন-সক্ষম করতে পারে। সুবিধার উত্থান এবং দূরবর্তী স্বেচ্ছাসেবক কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে চিহ্নিত করা হয়েছে।

জন্য CVE এওএসপি লিঙ্কযুক্ত বাগ নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0818 Android-26232830 [2] সংকটপূর্ণ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

কোয়ালকম পারফরম্যান্স কম্পোনেন্টে প্রাইভেলিজ দুর্বলতার উচ্চতা

কোয়ালকম পারফরম্যান্স উপাদানটিতে সুবিধাবঞ্চিত দুর্বলতার উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের মধ্যে স্বেচ্ছাচারিত কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে চিহ্নিত করা হয়েছে এবং কেবলমাত্র অপারেটিং সিস্টেমটিকে পুনরায় ফ্ল্যাশ করে ডিভাইসটি মেরামত করা যেতে পারে।

জন্য CVE বাগ নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0819 অ্যান্ড্রয়েড-25364034 * সংকটপূর্ণ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 অক্টোবর 29, 2015

* এই ইস্যুটির প্যাচ এওএসপিতে নেই। গুগল বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে আপডেটটি রয়েছে।

মিডিয়াটেক ওয়াই-ফাই কার্নেল ড্রাইভারের মধ্যে প্রাইভেলিজ ভ্যালেন্যারিলিটির উচ্চতা

মিডিয়াটেক ওয়াই-ফাই কার্নেল ড্রাইভারের মধ্যে একটি দুর্বলতা রয়েছে যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে ইচ্ছামত কোড নির্বাহ করতে সক্ষম করতে পারে। কার্নেলের প্রসঙ্গে বিশেষাধিকার ও স্বেচ্ছাসেবীর কোড প্রয়োগের উত্থানের সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে চিহ্নিত করা হয়েছে।

জন্য CVE বাগ নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0820 অ্যান্ড্রয়েড-26267358 * সংকটপূর্ণ 6.0.1 18 ডিসেম্বর, 2015

* এই ইস্যুটির প্যাচ এওএসপিতে নেই। গুগল বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে আপডেটটি রয়েছে।

কার্নেল কেরিংয়ের উপাদানগুলিতে প্রাইভেলিজ ভ্লানারেবিলিটির উচ্চতা

কার্নেল কেরিং কম্পোনেন্টে সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের মধ্যে স্বেচ্ছাসেবক কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে চিহ্নিত করা হয়েছে এবং অপারেটিং সিস্টেমটিকে পুনরায় ফ্ল্যাশ করে ডিভাইসটি কেবলমাত্র মেরামত করা যেতে পারে। যাইহোক, 5.0 বা তার বেশি সংস্করণে অ্যান্ড্রয়েড সংস্করণগুলিতে, সেলইনাক্স বিধিগুলি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিকে আক্রান্ত কোডে পৌঁছাতে বাধা দেয়।

দ্রষ্টব্য: রেফারেন্সের জন্য, এওএসপি-তে প্যাচ নির্দিষ্ট কার্নেল সংস্করণগুলির জন্য উপলব্ধ: 4.1 , 3.18 , 3.14 এবং 3.10

জন্য CVE বাগ নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0728 অ্যান্ড্রয়েড-26636379 সংকটপূর্ণ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 জানুয়ারী 11, 2016

কার্নেলের মধ্যে প্রশমন বাইপাস দুর্বলতা

কার্নেলের মধ্যে বাইপাস দুর্বলতা প্রশমিত করা প্ল্যাটফর্মটি ব্যবহার করে আক্রমণকারীদের অসুবিধা বাড়ানোর জন্য স্থানে থাকা সুরক্ষা ব্যবস্থাগুলির একটি বাইপাসকে অনুমতি দিতে পারে। এই বিষয়টিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি প্ল্যাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়ানোর জন্য স্থানে থাকা সুরক্ষা ব্যবস্থাগুলির বাইপাসকে অনুমতি দিতে পারে।

দ্রষ্টব্য: এই ইস্যুর আপডেটটি লিনাক্স আপস্ট্রিমে অবস্থিত

জন্য CVE বাগ নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0821 অ্যান্ড্রয়েড-26186802 উচ্চ 6.0.1 গুগল অভ্যন্তরীণ

মিডিয়াটেক কানেকটিভিটি কার্নেল ড্রাইভারে প্রাইভেলিজের উচ্চতা

মিডিয়াটেক কানেক্টিভিটি কার্নেল ড্রাইভারের মধ্যে বিশেষাধিকারের দুর্বলতার উচ্চতা রয়েছে যা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রেক্ষাপটে স্বেচ্ছাসেবক কোড কার্যকর করতে সক্ষম করতে পারে। সাধারণত এর মতো কার্নেল কোড এক্সিকিউশন বাগটি সমালোচনামূলক হিসাবে চিহ্নিত হবে তবে এটির জন্য প্রথমে কান_লাঞ্চার পরিষেবায় আপস করা দরকার, এটি উচ্চ তীব্রতা রেটিংয়ের একটি ডাউনগ্রেডকে ন্যায়সঙ্গত করে।

জন্য CVE বাগ নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0822 অ্যান্ড্রয়েড-25873324 * উচ্চ 6.0.1 নভেম্বর 24, 2015

* এই ইস্যুটির প্যাচ এওএসপিতে নেই। গুগল বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে আপডেটটি রয়েছে।

কার্নেলের মধ্যে তথ্য প্রকাশের দুর্বলতা

কার্নেলের মধ্যে একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্মটি ব্যবহার করে আক্রমণকারীদের অসুবিধা বাড়ানোর জন্য স্থানে থাকা সুরক্ষা ব্যবস্থাগুলির একটি বাইপাসকে অনুমতি দিতে পারে। এই বিষয়গুলিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ তারা কোনও সুবিধাযুক্ত প্রক্রিয়াতে ASLR এর মতো শোষণ প্রশমন প্রযুক্তিগুলির স্থানীয় বাইপাসকে অনুমতি দিতে পারে।

দ্রষ্টব্য: এই ইস্যুটির ফিক্সটি লিনাক্স আপস্ট্রিমে অবস্থিত

জন্য CVE বাগ নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0823 অ্যান্ড্রয়েড-25739721 * উচ্চ 6.0.1 গুগল অভ্যন্তরীণ

* এই ইস্যুটির প্যাচ এওএসপিতে নেই। গুগল বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে আপডেটটি রয়েছে।

লিবস্টেজফ্রেটে তথ্য প্রকাশের দুর্বলতা

প্ল্যাটফর্ম শোষণকারী আক্রমণকারীদের অসুবিধা বাড়ানোর জন্য লিবিস্টেজাইটরাইটে একটি তথ্য প্রকাশের দুর্বলতা স্থানে থাকা সুরক্ষা ব্যবস্থাগুলির একটি বাইপাসকে অনুমতি দিতে পারে। এই বিষয়গুলিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এগুলি স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির সুবিধা হিসাবে তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় যেমন উন্নত ক্ষমতা অর্জন করতেও ব্যবহৃত হতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0824 অ্যান্ড্রয়েড-25765591 উচ্চ 6.0, 6.0.1 নভেম্বর 18, 2015

ওয়াইডেভিনে তথ্য প্রকাশের দুর্বলতা

ওয়াইডেভাইন বিশ্বস্ত অ্যাপ্লিকেশনটিতে একটি তথ্য প্রকাশের দুর্বলতা কার্নেল প্রসঙ্গে চলমান কোডকে ট্রাস্টজোন সুরক্ষিত স্টোরেজে তথ্য অ্যাক্সেসের অনুমতি দিতে পারে। এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি স্বাক্ষর বা স্বাক্ষরঅরসিস্টেম অনুমতিগুলির সুবিধা হিসাবে উন্নত ক্ষমতা অর্জন করতে ব্যবহৃত হতে পারে।

জন্য CVE বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0825 অ্যান্ড্রয়েড-20860039 * উচ্চ 6.0.1 গুগল অভ্যন্তরীণ

* এই ইস্যুটির প্যাচ এওএসপিতে নেই। গুগল বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে আপডেটটি রয়েছে।

মিডিয়াসিভারে প্রাইভেলিজ ভ্লানরেবিলিটির উচ্চতা

মিডিয়াসেভারে সুবিধাবোধের দুর্বলতার একটি উন্নতি স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচার কোড প্রয়োগ করতে সক্ষম করতে পারে enable এই ইস্যুটিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনটিতে অ্যাক্সেসযোগ্য নয় এমন স্বাক্ষর বা স্বাক্ষরঅরসিস্টেম অনুমোদনের সুবিধার মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহৃত হতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগগুলি নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0826 Android-26265403 [2] উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ডিসেম্বর 17, 2015
জন্য CVE-2016-0827 অ্যান্ড্রয়েড-26347509 উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 ডিসেম্বর, 2015

মিডিয়াজার্ভারে তথ্য প্রকাশের দুর্বলতা

প্ল্যাটফর্মটি ব্যবহার করে আক্রমণকারীদের অসুবিধা বাড়ানোর জন্য মিডিয়াসেভারে একটি তথ্য প্রকাশের দুর্বলতা স্থানে থাকা সুরক্ষা ব্যবস্থাগুলির বাইপাসকে অনুমতি দিতে পারে। এই বিষয়গুলিকে উচ্চ তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এগুলি স্বাক্ষর বা সিগনেচারঅরসিস্টেম অনুমতিগুলির সুবিধা হিসাবে তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয় যেমন উন্নত ক্ষমতা অর্জন করতেও ব্যবহৃত হতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগগুলি নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0828 অ্যান্ড্রয়েড-26338113 উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1 27 ডিসেম্বর, 2015
জন্য CVE-2016-0829 অ্যান্ড্রয়েড-26338109 উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 ডিসেম্বর, 2015

ব্লুটুথের পরিষেবা দূর্গঠনের দূরবর্তী অস্বীকৃতি

ব্লুটুথ উপাদানগুলিতে পরিষেবা দুর্বলতার একটি রিমোট অস্বীকার কোনও প্রক্সিমাল আক্রমণকারীকে কোনও আক্রান্ত ডিভাইসে অ্যাক্সেস ব্লক করার অনুমতি দিতে পারে। একজন আক্রমণকারী ব্লুটুথ উপাদানগুলিতে সনাক্ত করা ব্লুটুথ ডিভাইসগুলির উপরি প্রবাহের কারণ হতে পারে, যা মেমরির দুর্নীতি এবং পরিষেবা বন্ধের দিকে নিয়ে যায়। এটি একটি উচ্চ তীব্রতার হিসাবে রেট করা হয়েছে কারণ এটি ব্লুটুথ পরিষেবাতে পরিষেবা অস্বীকারের দিকে পরিচালিত করে, যা কেবলমাত্র ডিভাইসের ফ্ল্যাশ দিয়ে সংশোধন করা যেতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0830 অ্যান্ড্রয়েড-26071376 উচ্চ 6.0, 6.0.1 গুগল অভ্যন্তরীণ

টেলিফোনিতে তথ্য প্রকাশের দুর্বলতা

টেলিফোনি উপাদানটিতে একটি তথ্য প্রকাশের দুর্বলতা কোনও অ্যাপ্লিকেশনটিকে সংবেদনশীল তথ্য অ্যাক্সেসের অনুমতি দিতে পারে। এই ইস্যুটি মাঝারি তীব্রতার সাথে রেট করা হয়েছে কারণ এটি অনুমতি ব্যতীত ভুলভাবে ডেটা অ্যাক্সেস করতে ব্যবহৃত হতে পারে।

জন্য CVE এওএসপি লিঙ্ক সহ বাগ নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0831 অ্যান্ড্রয়েড-25778215 মধ্যপন্থী 5.0.2, 5.1.1, 6.0, 6.0.1 নভেম্বর 16, 2015

সেটআপ উইজার্ডে প্রাইভেলিজ ভ্লানারেবিলিটির উচ্চতা

সেটআপ উইজার্ডের একটি দুর্বলতা এমন আক্রমণকারীকে সক্ষম করতে পারে যার ডিভাইসটিতে দৈহিক অ্যাক্সেস ছিল ডিভাইস সেটিংসে অ্যাক্সেস পেতে এবং ম্যানুয়াল ডিভাইস পুনরায় সেট করতে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে চিহ্নিত করা হয়েছে কারণ এটি ফ্যাক্টরি পুনরায় সুরক্ষা চারপাশে ভুলভাবে কাজ করতে পারে work

জন্য CVE বাগ (গুলি) নির্দয়তা আপডেট সংস্করণ তারিখ রিপোর্ট করা হয়েছে
জন্য CVE-2016-0832 অ্যান্ড্রয়েড-25955042 * মধ্যপন্থী 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

* এই আপডেটের জন্য কোনও উত্স কোড প্যাচ সরবরাহ করা হয়নি।

সাধারণ প্রশ্ন এবং উত্তরসমূহ

এই বিভাগটি এই বুলেটিনটি পড়ার পরে দেখা দিতে পারে এমন সাধারণ প্রশ্নের উত্তরগুলির পর্যালোচনা করে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

1 মার্চ, ২০১ or এর সুরক্ষা প্যাচ স্তর সহ এলএমওয়াই 49 এইচ বা তারপরে এবং অ্যান্ড্রয়েড 6.0 তৈরি করে বা পরে এই সমস্যাগুলি সমাধান করে। সুরক্ষা প্যাচ স্তর কীভাবে পরীক্ষা করতে হয় তার নির্দেশাবলীর জন্য নেক্সাস ডকুমেন্টেশন দেখুন । এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস প্রস্তুতকারকদের প্যাচ স্ট্রিং স্তরটি এতে নির্ধারণ করা উচিত: [ro.build.version.security_patch]: [2016-03-01]

পুনর্বিবেচনা

  • মার্চ 07, 2016: বুলেটিন প্রকাশিত।
  • মার্চ 08, 2016: বুলেটিন এওএসপি লিঙ্কগুলি অন্তর্ভুক্ত করতে সংশোধিত।