নেক্সাস নিরাপত্তা বুলেটিন - মার্চ 2016

প্রকাশিত মার্চ 07, 2016 | 08 মার্চ, 2016 আপডেট করা হয়েছে

আমরা আমাদের Android সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। মার্চ 01, 2016 বা তার পরের নিরাপত্তা প্যাচ লেভেল সহ LMY49H বা তার পরে এবং Android M তৈরি করে এই সমস্যাগুলির সমাধান করে৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন।

1 ফেব্রুয়ারি, 2016 বা তার আগে বুলেটিনে বর্ণিত সমস্যাগুলি সম্পর্কে অংশীদারদের অবহিত করা হয়েছিল৷ যেখানে প্রযোজ্য, এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষাগুলির বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের সুরক্ষা উন্নত করে৷ আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷

প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল হওয়ার বিষয়ে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
  • উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।

স্বীকৃতি

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

  • গুগল ক্রোম সিকিউরিটি টিমের অভিষেক আর্য, অলিভার চ্যাং এবং মার্টিন বারবেলা: CVE-2016-0815
  • সেন্সাস এসএ-এর অ্যানেস্টিস বেচটসউডিস ( @anestisb ): CVE-2016-0816, CVE-2016-0824
  • অ্যান্ড্রয়েড সিকিউরিটি থেকে চাড ব্রুবেকার: CVE-2016-0818
  • গুগল প্রোজেক্ট জিরোর মার্ক ব্র্যান্ড: CVE-2016-0820
  • Qihoo 360 থেকে C0RE টিমের Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), এবং Xuxian জিয়াং : CVE-2016-0826
  • ট্রেন্ড মাইক্রো এর পিটার পাই ( @heisecode ): CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • স্কট বাউয়ার ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • ট্রেন্ড মাইক্রো ইনকর্পোরেটেডের উইশ উ ( @wish_wu ): CVE-2016-0819
  • হুয়াওয়ের ইয়ংজেং উ এবং তিয়েন লি: CVE-2016-0831
  • সিঙ্গাপুর ম্যানেজমেন্ট ইউনিভার্সিটির সু মন কিওয়ে এবং ইংজিউ লি: CVE-2016-0831
  • অ্যান্ড্রয়েড সিকিউরিটি টিমের Zach Riggle ( @ebeip90 ): CVE-2016-0821

নিরাপত্তা দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2016-03-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, প্রভাবিত সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। উপলভ্য হলে, আমরা AOSP পরিবর্তনটিকে লিঙ্ক করব যা সমস্যাটি বাগ আইডির সাথে সম্বোধন করেছে। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।

মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা

মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে প্রদান করা হয়, এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।

মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0815 ANDROID-26365349 সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ
CVE-2016-0816 অ্যান্ড্রয়েড-25928803 সমালোচনামূলক 6.0, 6.0.1 গুগল অভ্যন্তরীণ

libvpx এ রিমোট কোড এক্সিকিউশন দুর্বলতা

মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।

সমস্যাগুলিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে কারণ সেগুলি মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার জন্য ব্যবহার করা যেতে পারে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-1621 ANDROID-23452792 [2] [3] সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0 গুগল অভ্যন্তরীণ

কনস্ক্রিপ্টে বিশেষাধিকারের উচ্চতা

Conscrypt-এ একটি দুর্বলতা একটি নির্দিষ্ট ধরনের অবৈধ শংসাপত্র, একটি মধ্যবর্তী সার্টিফিকেট অথরিটি (CA) দ্বারা জারি করা ভুলভাবে বিশ্বাসযোগ্য হতে পারে৷ এটি একটি ম্যান-ইন-দ্য-মিডল আক্রমণ সক্ষম করতে পারে। বিশেষাধিকারের উচ্চতা এবং দূরবর্তী স্বেচ্ছাচারী কোড সম্পাদনের সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0818 ANDROID-26232830 [2] সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

কোয়ালকম পারফরমেন্স কম্পোনেন্টে প্রিভিলেজ দুর্বলতার উচ্চতা

কোয়ালকম পারফরম্যান্স কম্পোনেন্টে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এবং ডিভাইসটি শুধুমাত্র অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে মেরামত করা যেতে পারে।

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0819 ANDROID-25364034* সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 অক্টোবর 29, 2015

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

মিডিয়াটেক ওয়াই-ফাই কার্নেল ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

মিডিয়াটেক ওয়াই-ফাই কার্নেল ড্রাইভারে একটি দুর্বলতা রয়েছে যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। কার্নেলের প্রেক্ষাপটে বিশেষাধিকারের উচ্চতা এবং স্বেচ্ছাচারী কোড সম্পাদনের সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে।

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0820 ANDROID-26267358* সমালোচনামূলক 6.0.1 18 ডিসেম্বর, 2015

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কার্নেল কীরিং কম্পোনেন্টে বিশেষাধিকার দুর্বলতার উচ্চতা

কার্নেল কীরিং কম্পোনেন্টে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের মধ্যে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। একটি স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে এবং ডিভাইসটি সম্ভাব্যভাবে শুধুমাত্র অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে মেরামত করা যেতে পারে৷ যাইহোক, Android সংস্করণ 5.0 এবং তার উপরে, SELinux নিয়মগুলি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিকে প্রভাবিত কোডে পৌঁছাতে বাধা দেয়।

দ্রষ্টব্য: রেফারেন্সের জন্য, AOSP-এর প্যাচটি নির্দিষ্ট কার্নেল সংস্করণগুলির জন্য উপলব্ধ: 4.1 , 3.18 , 3.14 , এবং 3.10

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0728 ANDROID-26636379 সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 জানুয়ারী 11, 2016

কার্নেলে প্রশমন বাইপাস দুর্বলতা

কার্নেলে একটি প্রশমন বাইপাস দুর্বলতা প্ল্যাটফর্ম শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি প্ল্যাটফর্মটি শোষণকারীদের আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে।

দ্রষ্টব্য: এই সমস্যার জন্য আপডেটটি লিনাক্স আপস্ট্রিমে অবস্থিত

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0821 ANDROID-26186802 উচ্চ 6.0.1 গুগল অভ্যন্তরীণ

মিডিয়াটেক কানেক্টিভিটি কার্নেল ড্রাইভারে বিশেষাধিকারের উচ্চতা

একটি MediaTek কানেক্টিভিটি কার্নেল ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা রয়েছে যা কার্নেলের প্রেক্ষাপটে একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। সাধারণত এই ধরনের একটি কার্নেল কোড এক্সিকিউশন বাগকে সমালোচনামূলক রেট দেওয়া হবে, কিন্তু কারণ এটির জন্য প্রথমে conn_launcher পরিষেবার সাথে আপস করতে হবে, এটি উচ্চ তীব্রতা রেটিং-এ ডাউনগ্রেডকে সমর্থন করে।

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0822 ANDROID-25873324* উচ্চ 6.0.1 নভেম্বর 24, 2015

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কার্নেলে তথ্য প্রকাশের দুর্বলতা

কার্নেলে একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ তারা একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ায় ASLR-এর মতো শোষণ প্রশমন প্রযুক্তির স্থানীয় বাইপাসকে অনুমতি দিতে পারে।

দ্রষ্টব্য: এই সমস্যার সমাধান লিনাক্স আপস্ট্রিমে অবস্থিত

সিভিই বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0823 ANDROID-25739721* উচ্চ 6.0.1 গুগল অভ্যন্তরীণ

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

লিবস্টেজফ্রাইটে তথ্য প্রকাশের দুর্বলতা

libstagefright-এ একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্ম শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এগুলি উন্নত ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0824 ANDROID-25765591 উচ্চ 6.0, 6.0.1 নভেম্বর 18, 2015

Widevine-এ তথ্য প্রকাশের দুর্বলতা

ওয়াইডিভাইন ট্রাস্টেড অ্যাপ্লিকেশনে একটি তথ্য প্রকাশের দুর্বলতা ট্রাস্টজোন সুরক্ষিত সঞ্চয়স্থানে তথ্য অ্যাক্সেস করার জন্য কার্নেল প্রসঙ্গে চলমান কোডকে অনুমতি দিতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধার মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে।

সিভিই বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0825 ANDROID-20860039* উচ্চ 6.0.1 গুগল অভ্যন্তরীণ

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা

মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0826 ANDROID-26265403 [2] উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ডিসেম্বর 17, 2015
CVE-2016-0827 ANDROID-26347509 উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 ডিসেম্বর, 2015

মিডিয়া সার্ভারে তথ্য প্রকাশের দুর্বলতা

মিডিয়া সার্ভারে একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্ম শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এগুলি উন্নত ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0828 ANDROID-26338113 উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1 ডিসেম্বর 27, 2015
CVE-2016-0829 ANDROID-26338109 উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ডিসেম্বর 27, 2015

ব্লুটুথে পরিষেবা দুর্বলতার দূরবর্তী অস্বীকার

ব্লুটুথ কম্পোনেন্টে পরিষেবার দুর্বলতার একটি দূরবর্তী অস্বীকৃতি একজন প্রক্সিমাল আক্রমণকারীকে প্রভাবিত ডিভাইসে অ্যাক্সেস ব্লক করার অনুমতি দিতে পারে। একজন আক্রমণকারী ব্লুটুথ কম্পোনেন্টে চিহ্নিত ব্লুটুথ ডিভাইসের ওভারফ্লো ঘটাতে পারে, যা মেমরি দুর্নীতি এবং পরিষেবা বন্ধ করে দেয়। এটি একটি উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ব্লুটুথ পরিষেবাতে পরিষেবার অস্বীকৃতির দিকে নিয়ে যায়, যা সম্ভবত ডিভাইসের একটি ফ্ল্যাশ দিয়ে ঠিক করা যেতে পারে৷

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0830 অ্যান্ড্রয়েড-26071376 উচ্চ 6.0, 6.0.1 গুগল অভ্যন্তরীণ

টেলিফোনিতে তথ্য প্রকাশের দুর্বলতা

টেলিফোনি উপাদানে একটি তথ্য প্রকাশের দুর্বলতা একটি অ্যাপ্লিকেশনকে সংবেদনশীল তথ্য অ্যাক্সেস করার অনুমতি দিতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতার রেট দেওয়া হয়েছে কারণ এটি অনুমতি ছাড়াই ভুলভাবে ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0831 ANDROID-25778215 পরিমিত 5.0.2, 5.1.1, 6.0, 6.0.1 নভেম্বর 16, 2015

সেটআপ উইজার্ডে বিশেষাধিকার দুর্বলতার উচ্চতা

সেটআপ উইজার্ডে একটি দুর্বলতা ডিভাইস সেটিংসে অ্যাক্সেস পেতে এবং একটি ম্যানুয়াল ডিভাইস রিসেট সম্পাদন করতে ডিভাইসে শারীরিক অ্যাক্সেস ছিল এমন আক্রমণকারীকে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ফ্যাক্টরি রিসেট সুরক্ষার চারপাশে ভুলভাবে কাজ করতে ব্যবহার করা যেতে পারে।

সিভিই বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2016-0832 ANDROID-25955042* পরিমিত 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

* এই আপডেটের জন্য কোন সোর্স কোড প্যাচ দেওয়া নেই।

সাধারণ প্রশ্ন ও উত্তর

এই বিভাগটি এই বুলেটিন পড়ার পর হতে পারে এমন সাধারণ প্রশ্নের উত্তর পর্যালোচনা করে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

মার্চ 1, 2016 এর নিরাপত্তা প্যাচ লেভেল সহ LMY49H বা তার পরবর্তী এবং Android 6.0 তৈরি করে বা এই সমস্যাগুলির সমাধান করে। নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন। এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত: [ro.build.version.security_patch]:[2016-03-01]

রিভিশন

  • মার্চ 07, 2016: বুলেটিন প্রকাশিত।
  • মার্চ 08, 2016: AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।