অ্যান্ড্রয়েড সুরক্ষা বুলেটিন — জানুয়ারী 2017

03 জানুয়ারী, 2017 প্রকাশিত | ফেব্রুয়ারী 2, 2017 আপডেট হয়েছে

অ্যান্ড্রয়েড সুরক্ষা বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত সুরক্ষিত দুর্বলতার বিবরণ রয়েছে। বুলেটিনের পাশাপাশি, আমরা একটি ওভার-দ্য এয়ার (ওটিএ) আপডেটের মাধ্যমে গুগল ডিভাইসে একটি সুরক্ষা আপডেট প্রকাশ করেছি। গুগল ডিভাইস ফার্মওয়্যার চিত্রগুলিও Google বিকাশকারী সাইটে প্রকাশ করা হয়েছে। 05 জানুয়ারী, 2017 এর সুরক্ষা প্যাচ স্তরগুলি বা তারপরে এই সমস্ত সমস্যার সমাধান করবে। কোনও ডিভাইসের সুরক্ষা প্যাচ স্তর কীভাবে চেক করবেন তা শিখতে পিক্সেল এবং নেক্সাস আপডেটের সময়সূচীটি দেখুন

অংশীদারদের বুলেটিনে বর্ণিত সমস্যাগুলি সম্পর্কে 05 ডিসেম্বর, 2016 বা তারও আগে অবহিত করা হয়েছিল। এই ইস্যুগুলির জন্য উত্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রকল্প (এওএসপি) সংগ্রহস্থলে প্রকাশিত হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক হয়েছে। এই বুলেটিনে এওএসপির বাইরের প্যাচগুলির লিঙ্কগুলিও অন্তর্ভুক্ত রয়েছে।

এই সমস্যাগুলির মধ্যে সবচেয়ে মারাত্মক হ'ল একটি সমালোচনামূলক সুরক্ষা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে রিমোট কোড কার্যকর করতে সক্ষম করে। তীব্রতা মূল্যায়ন এই প্রভাবকে ভিত্তিতে তৈরি করা হয় যে দুর্বলতা কাজে লাগানো সম্ভবত কোনও প্রভাবিত ডিভাইসে থাকতে পারে, ধরে নিই প্ল্যাটফর্ম এবং পরিষেবাটি হ্রাসগুলি বিকাশের উদ্দেশ্যে বা যদি সাফল্যের সাথে অতিক্রম করা হয় তবে অক্ষম রয়েছে।

সক্রিয় গ্রাহকদের শোষণ বা এই নতুন রিপোর্ট হওয়া সমস্যাগুলির অপব্যবহারের কোনও প্রতিবেদন আমাদের কাছে নেই। অ্যান্ড্রয়েড প্ল্যাটফর্মের সুরক্ষা উন্নতকারী অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটি নেট হিসাবে পরিষেবা সুরক্ষা সম্পর্কিত বিশদগুলির জন্য অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন বিভাগটি দেখুন।

আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি।

ঘোষণা

  • এই বুলেটিনটিতে অ্যান্ড্রয়েড অংশীদারদের আরও সমস্ত অ্যান্ড্রয়েড ডিভাইস জুড়ে একই রকমের দুর্বলতার একটি সাবসেট আরও দ্রুত ঠিক করার জন্য নমনীয়তা সরবরাহ করার জন্য দুটি সুরক্ষা প্যাচ স্তরের স্ট্রিং রয়েছে। অতিরিক্ত তথ্যের জন্য সাধারণ প্রশ্ন এবং উত্তর দেখুন:
    • 2017-01-01 : আংশিক সুরক্ষা প্যাচ স্তরের স্ট্রিং। এই সুরক্ষা প্যাচ স্তরের স্ট্রিং ইঙ্গিত দেয় যে 2017-01-01 (এবং পূর্ববর্তী সমস্ত সুরক্ষা প্যাচ স্তর স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত ইস্যু মোকাবেলা করা হয়েছে।
    • 2017-01-05 : সম্পূর্ণ সুরক্ষা প্যাচ স্তরের স্ট্রিং। এই সুরক্ষা প্যাচ স্তরের স্ট্রিং ইঙ্গিত দেয় যে 2017-01-01 এবং 2017-01-05 (এবং পূর্ববর্তী সমস্ত সুরক্ষা প্যাচ স্তর স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত ইস্যু মোকাবেলা করা হয়েছে।
  • সমর্থিত গুগল ডিভাইসগুলি 05 জানুয়ারী, 2017 সুরক্ষা প্যাচ স্তরের সাথে একটি একক ওটিএ আপডেট পাবে।

সুরক্ষা দুর্বলতার সংক্ষিপ্তসার

নীচের টেবিলগুলিতে সুরক্ষা দুর্বলতার একটি তালিকা, প্রচলিত ক্ষতিগ্রস্থতা এবং এক্সপোজার আইডি (সিভিই), নির্ধারিত তীব্রতা এবং গুগল ডিভাইসগুলি প্রভাবিত হয়েছে কিনা। তীব্রতা মূল্যায়ন এই প্রভাবকে ভিত্তিতে তৈরি করা হয় যে দুর্বলতা কাজে লাগানো সম্ভবত কোনও প্রভাবিত ডিভাইসে থাকতে পারে, ধরে নিই প্ল্যাটফর্ম এবং পরিষেবাটি হ্রাসগুলি বিকাশের উদ্দেশ্যে বা যদি সাফল্যের সাথে অতিক্রম করা হয় তবে অক্ষম রয়েছে।

অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন

এটি অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম এবং পরিষেবা সুরক্ষা যেমন সেফটি নেট দ্বারা সরবরাহিত প্রশমিতির সংক্ষিপ্তসার। এই ক্ষমতাগুলি অ্যান্ড্রয়েডে সুরক্ষিত দুর্বলতাগুলি সফলভাবে কাজে লাগানো সম্ভাবনা হ্রাস করে।

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণগুলিতে উন্নতি করে অ্যান্ড্রয়েডে অনেকগুলি বিষয়গুলির শোষণকে আরও শক্ত করে তোলা হয়েছে। আমরা সমস্ত ব্যবহারকারীদের যেখানে সম্ভব সেখানে অ্যান্ড্রয়েডের সর্বশেষতম সংস্করণে আপডেট করতে উত্সাহিত করি।
  • অ্যান্ড্রয়েড সুরক্ষা দলটি ভেরিফাই অ্যাপস এবং সেফটি নেট থেকে অপব্যবহারের জন্য সক্রিয়ভাবে পর্যবেক্ষণ করে, যা ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশনগুলি সম্পর্কে সতর্ক করতে ডিজাইন করা হয়েছে। গুগল মোবাইল পরিষেবাদির সাথে ডিভাইসে ডিফল্টরূপে যাচাই করা অ্যাপ্লিকেশনগুলি সক্ষম করা হয় এবং বিশেষত যারা গুগল প্লে এর বাইরে থেকে অ্যাপ্লিকেশন ইনস্টল করেন তাদের জন্য গুরুত্বপূর্ণ। ডিভাইস রুট করার সরঞ্জামগুলি গুগল প্লেতে নিষিদ্ধ করা হয়েছে, তবে যাচাইকরণ অ্যাপ্লিকেশনরা যখন সনাক্ত করা মূল অ্যাপ্লিকেশনটি ইনস্টল করার চেষ্টা করে তখন ব্যবহারকারীরা তাদের সাবধান করে। সেখান থেকে তা আসে না কেন। অতিরিক্তভাবে, যাচাই করুন অ্যাপ্লিকেশনগুলি কোনও সুবিধাসমূহ বাড়ানোর দুর্বলতা কাজে লাগিয়ে জানা দূষিত অ্যাপ্লিকেশনগুলির সনাক্তকরণ এবং ব্লক করার চেষ্টা করে। যদি এই জাতীয় অ্যাপ্লিকেশনটি ইতিমধ্যে ইনস্টল করা হয়ে থাকে, যাচাই করুন অ্যাপ্লিকেশন ব্যবহারকারীকে অবহিত করবে এবং সনাক্তকৃত অ্যাপ্লিকেশনটি সরানোর চেষ্টা করবে।
  • যথাযথ হিসাবে, গুগল হ্যাঙ্গআউট এবং ম্যাসেঞ্জার অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে মিডিয়া স্বয়ংক্রিয়ভাবে পাস করে না।

স্বীকৃতি

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

এই বুলেটিনে অবদানের জন্য আমরা নিম্নলিখিত গবেষকদের ধন্যবাদ জানাতে চাই:

  • বাওজেং ডিং, চেংমিং ইয়াং, পেং জিয়াও, নিং ইউ, ইয়াং ডং, চাও ইয়াং, ইয়া জাং এবং আলিবাবার মোবাইল সুরক্ষা গোষ্ঠীর ইয়াং সং
  • ট্রেন্ড মাইক্রো এর পিটার পাই ( @ হাইস্কোড )
  • গুগলের জুবিন মিথ্রা

2017-01-01 সুরক্ষা প্যাচ স্তর — ক্ষতিগ্রস্থতার বিশদ

নীচের বিভাগগুলিতে, আমরা সুরক্ষা দুর্বলতার জন্য বিশদ সরবরাহ করি যা 2017-01-01 প্যাচ স্তরের ক্ষেত্রে প্রযোজ্য। ইস্যুটির একটি বিবরণ, তীব্রতার যুক্তি এবং সিভিই সহ একটি সারণী, সম্পর্কিত উল্লেখ, তীব্রতা, আপডেট হওয়া গুগল ডিভাইস, আপডেট এওএসপি সংস্করণ (যেখানে প্রযোজ্য) এবং তারিখের প্রতিবেদন রয়েছে। উপলভ্য হলে, আমরা জনসাধারণের পরিবর্তনটিকে এওএসপি পরিবর্তন তালিকার মতো বাগ আইডির সাথে যুক্ত করে দেব change যখন একাধিক পরিবর্তন একক বাগের সাথে সম্পর্কিত হয়, অতিরিক্ত রেফারেন্সগুলি বাগ আইডির পরে সংখ্যার সাথে লিঙ্ক করা হয়।

সি-আরসে রিমোট কোড কার্যকরকরণের দুর্বলতা

সি-আরসে একটি রিমোট কোড এক্সিকিউশন দুর্বলতা একটি আক্রমণকারীকে একটি অনিরাপদ প্রক্রিয়া প্রসঙ্গে সালিসী কোড চালানোর জন্য বিশেষভাবে তৈরি করা অনুরোধ ব্যবহার করে সক্ষম করতে পারে। এই লাইব্রেরিটি ব্যবহার করে এমন অ্যাপ্লিকেশনটিতে রিমোট কোড প্রয়োগের সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে চিহ্নিত করা হয়েছে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস আপডেট হওয়া এওএসপি সংস্করণ তারিখ রিপোর্ট করা হয়েছে
সিভিই -2016-5180 এ -32205736 উচ্চ সব 7.0 29 সেপ্টেম্বর, 2016

ফ্রেমসেক্সেন্সে রিমোট কোড প্রয়োগের দুর্বলতা

ফ্রেমসেক্সেন্স লাইব্রেরিতে একটি রিমোট কোড এক্সিকিউশন দুর্বলতা একটি অনিরাপদ প্রক্রিয়া প্রসঙ্গে সালিসী কোড চালানোর জন্য একটি বিশেষভাবে কারুকৃত ফাইল ব্যবহার করে আক্রমণকারীকে সক্ষম করতে পারে। ফ্রেমসেক্সেন্স লাইব্রেরি ব্যবহার করে এমন অ্যাপ্লিকেশনটিতে রিমোট কোড প্রয়োগের সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে চিহ্নিত করা হয়েছে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস আপডেট হওয়া এওএসপি সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2017-0382 এ -32338390 উচ্চ সব 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 অক্টোবর, 2016

ফ্রেমওয়ার্ক এপিআইগুলিতে সুবিধাবঞ্চিত দুর্বলতার উচ্চতা

ফ্রেমওয়ার্ক এপিআইগুলিতে সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা কোনও স্থানীয় ক্ষতিকারক অ্যাপ্লিকেশনটিকে কোনও সুবিধাযুক্ত প্রক্রিয়াটির প্রসঙ্গে স্বেচ্ছাসেবীর কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস অর্জন করতে ব্যবহৃত হতে পারে যা তৃতীয় পক্ষের অ্যাপ্লিকেশনটিতে সাধারণত অ্যাক্সেসযোগ্য হয় না।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস আপডেট হওয়া এওএসপি সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2017-0383 এ -31677614 উচ্চ সব 7.0, 7.1.1 21 সেপ্টেম্বর, 2016

অডিওসভারে সুবিধাবঞ্চিত দুর্বলতার উচ্চতা

অডিওসভারে সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা স্থানীয় কোনও দূষিত অ্যাপ্লিকেশনটিকে কোনও সুবিধাযুক্ত প্রক্রিয়ার প্রসঙ্গে সালিসী কোড প্রয়োগ করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস অর্জন করতে ব্যবহৃত হতে পারে যা তৃতীয় পক্ষের অ্যাপ্লিকেশনটিতে সাধারণত অ্যাক্সেসযোগ্য হয় না।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস আপডেট হওয়া এওএসপি সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2017-0384 এ -32095626 উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 ই অক্টোবর, 2016
CVE-2017-0385 এ -32585400 উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 ই অক্টোবর, 2016

লিবিএনএল-তে সুবিধাবঞ্চিত দুর্বলতার উচ্চতা

লিবনল লাইব্রেরিতে সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা স্থানীয় কোনও দূষিত অ্যাপ্লিকেশনটিকে কোনও সুবিধাযুক্ত প্রক্রিয়াটির প্রসঙ্গে সালিসী কোড প্রয়োগ করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস অর্জন করতে ব্যবহৃত হতে পারে যা তৃতীয় পক্ষের অ্যাপ্লিকেশনটিতে সাধারণত অ্যাক্সেসযোগ্য হয় না।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস আপডেট হওয়া এওএসপি সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2017-0386 এ -32255299 উচ্চ সব 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 ই অক্টোবর, 2016

মিডিয়াসেভারে সুবিধাবঞ্চিত দুর্বলতার উচ্চতা

মিডিয়াসারভারে সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা কোনও স্থানীয় ক্ষতিকারক অ্যাপ্লিকেশনটিকে কোনও সুবিধাযুক্ত প্রক্রিয়াটির প্রসঙ্গে সালিসী কোড প্রয়োগ করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস অর্জন করতে ব্যবহৃত হতে পারে যা তৃতীয় পক্ষের অ্যাপ্লিকেশনটিতে সাধারণত অ্যাক্সেসযোগ্য হয় না।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস আপডেট হওয়া এওএসপি সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2017-0387 এ -32660278 উচ্চ সব 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 নভেম্বর 4, 2016

বাহ্যিক সঞ্চয় সরবরাহকারীর তথ্য প্রকাশের দুর্বলতা

বাহ্যিক স্টোরেজ সরবরাহকারীর একটি তথ্য প্রকাশের দুর্বলতা কোনও স্থানীয় গৌণ ব্যবহারকারীকে প্রাথমিক ব্যবহারকারীর দ্বারা sertedোকানো বাহ্যিক স্টোরেজ এসডি কার্ড থেকে ডেটা পড়তে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটি অনুমতি ছাড়াই ডেটা অ্যাক্সেস করতে ব্যবহৃত হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস আপডেট হওয়া এওএসপি সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2017-0388 88 এ -32523490 উচ্চ সব 6.0, 6.0.1, 7.0, 7.1.1 গুগল অভ্যন্তরীণ

মূল নেটওয়ার্কিংয়ে পরিষেবা দুর্বলতার অস্বীকার

মূল নেটওয়ার্কিংয়ে পরিষেবা দুর্বলতার অস্বীকৃতি দূরবর্তী আক্রমণকারীকে বিশেষভাবে কারুকৃত নেটওয়ার্ক প্যাকেটটি ডিভাইস হ্যাং বা রিবুট করার জন্য সক্ষম করতে পারে। দূরবর্তী পরিষেবা অস্বীকারের সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে চিহ্নিত করা হয়েছে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস আপডেট হওয়া এওএসপি সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2017-0389 A-31850211 [ 2 ] [ 3 ] উচ্চ সব 6.0, 6.0.1, 7.0, 7.1.1 জুলাই 20, 2016

মিডিয়াসেভারে পরিষেবা দুর্বলতার অস্বীকার

মিডিয়াসারভারে পরিষেবা দুর্বলতার অস্বীকৃতি দূরবর্তী আক্রমণকারীকে একটি বিশেষ কারুকৃত ফাইল ব্যবহার করতে একটি ডিভাইস হ্যাং বা রিবুট করতে সক্ষম করতে পারে। দূরবর্তী পরিষেবা অস্বীকারের সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে চিহ্নিত করা হয়েছে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস আপডেট হওয়া এওএসপি সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2017-0390 3 এ -31647370 উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 সেপ্টেম্বর 19, 2016
CVE-2017-0391 এ -32322258 উচ্চ সব 6.0, 6.0.1, 7.0, 7.1.1 20 অক্টোবর, 2016
CVE-2017-0392 এ -32577290 উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 অক্টোবর 29, 2016
CVE-2017-0393 এ -30436808 উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 গুগল অভ্যন্তরীণ

টেলিফোনে পরিষেবা দুর্বলতার অস্বীকার

টেলিফোনিতে পরিষেবা দুর্বলতার অস্বীকৃতি দূরবর্তী আক্রমণকারীকে কোনও ডিভাইস হ্যাং বা রিবুট করতে সক্ষম করতে পারে। দূরবর্তী পরিষেবা অস্বীকারের সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে চিহ্নিত করা হয়েছে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস আপডেট হওয়া এওএসপি সংস্করণ তারিখ রিপোর্ট করা হয়েছে
সিভিই-2017-0394 এ -31752213 উচ্চ সব 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 23 সেপ্টেম্বর, 2016

পরিচিতিতে সুবিধাবঞ্চিত দুর্বলতার উচ্চতা

পরিচিতিগুলিতে সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে নীরবে যোগাযোগের তথ্য তৈরি করতে সক্ষম করতে পারে। এই ইস্যুটিকে মাঝারি হিসাবে রেট করা হয়েছে কারণ এটি স্থানীয় যোগাযোগের প্রয়োজনীয়তার স্থানীয় ক্রিয়াকলাপ (কার্যক্ষমতায় অ্যাক্সেস যার জন্য সাধারণত ব্যবহারকারী দীক্ষা বা ব্যবহারকারীর অনুমতি প্রয়োজন হয়)।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস আপডেট হওয়া এওএসপি সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2017-0395 এ -32219099 মাঝারি সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 ই অক্টোবর, 2016

মিডিয়াজার্ভারে তথ্য প্রকাশের দুর্বলতা

মেডিজায়ারভারে একটি তথ্য প্রকাশের দুর্বলতা কোনও স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে এর অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি হিসাবে চিহ্নিত করা হয়েছে কারণ এটি অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহৃত হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস আপডেট হওয়া এওএসপি সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2017-0381 এ -31607432 মাঝারি সব 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 সেপ্টেম্বর, 2016
CVE-2017-0396 এ -31781965 মাঝারি সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 27 সেপ্টেম্বর, 2016
CVE-2017-0397 এ -32377688 মাঝারি সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 অক্টোবর, 2016

অডিওসভারে তথ্য প্রকাশের দুর্বলতা

অডিওসভারে একটি তথ্য প্রকাশের দুর্বলতা তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি হিসাবে চিহ্নিত করা হয়েছে কারণ এটি অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহৃত হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস আপডেট হওয়া এওএসপি সংস্করণ তারিখ রিপোর্ট করা হয়েছে
CVE-2017-0398 এ -32438594 মাঝারি সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 অক্টোবর, 2016
CVE-2017-0398 এ -32635664 মাঝারি সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 অক্টোবর, 2016
CVE-2017-0398 এ -32624850 মাঝারি সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 অক্টোবর, 2016
CVE-2017-0399 99 এ -32247948 [ 2 ] মাঝারি সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 ই অক্টোবর, 2016
CVE-2017-0400 এ -32584034 [ 2 ] মাঝারি সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 অক্টোবর, 2016
CVE-2017-0401 এ -32448258 মাঝারি সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 26 অক্টোবর, 2016
CVE-2017-0402 এ -32436341 [ 2 ] মাঝারি সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 অক্টোবর, 2016

2017-01-05 সুরক্ষা প্যাচ স্তর — ক্ষতিগ্রস্থতার বিশদ

নীচের বিভাগগুলিতে, আমরা সুরক্ষা দুর্বলতার জন্য বিশদ সরবরাহ করি যা 2017-01-05 প্যাচ স্তরে প্রযোজ্য। ইস্যুটির একটি বিবরণ, তীব্রতার যুক্তি এবং সিভিই সহ একটি সারণী, সম্পর্কিত উল্লেখ, তীব্রতা, আপডেট হওয়া গুগল ডিভাইস, আপডেট এওএসপি সংস্করণ (যেখানে প্রযোজ্য) এবং তারিখের প্রতিবেদন রয়েছে। উপলভ্য হলে, আমরা জনসাধারণের পরিবর্তনের সাথে এওএসপি পরিবর্তন তালিকার মতো এই সমস্যাটিকে বাগ আইডির সাথে যুক্ত করব। যখন একাধিক পরিবর্তন একক বাগের সাথে সম্পর্কিত হয়, অতিরিক্ত রেফারেন্সগুলি বাগ আইডির পরে সংখ্যার সাথে লিঙ্ক করা হয়।

কার্নেল মেমরি সাবসিস্টেমের সুবিধার দুর্বলতার উচ্চতা lev

কার্নেল মেমরি সাবসিস্টেমের সুবিধার্থে দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে ইচ্ছামত কোড নির্বাহ করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে সমালোচক হিসাবে চিহ্নিত করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমটিকে পুনর্বিবেচনার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
CVE-2015-3288 এ -32460277
উজানের কার্নেল
সমালোচক নেক্সাস 5 এক্স, নেক্সাস 6, নেক্সাস 6 পি, অ্যান্ড্রয়েড ওয়ান, পিক্সেল সি, নেক্সাস প্লেয়ার, পিক্সেল, পিক্সেল এক্সএল জুলাই 9, 2015

কোয়ালকম বুটলোডার মধ্যে সুবিধাবঞ্চিত দুর্বলতার উচ্চতা

কোয়ালকম বুটলোডারটিতে সুবিধাপ্রাপ্ত দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে ইচ্ছামত কোড নির্বাহ করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে সমালোচনামূলক হিসাবে রেট দেওয়া হয়েছে, যার জন্য ডিভাইসটি মেরামত করতে অপারেটিং সিস্টেমটিকে পুনর্বিবেচনার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
CVE-2016-8422 এ -31471220
কিউসি-সিআর # 979426
সমালোচক নেক্সাস 6, নেক্সাস 6 পি, পিক্সেল, পিক্সেল এক্সএল জুলাই 22, 2016
CVE-2016-8423 এ -33099736
কিউসি-সিআর # 1000546
সমালোচক নেক্সাস 6 পি, পিক্সেল, পিক্সেল এক্সএল আগস্ট 24, 2016

কার্নেল ফাইল সিস্টেমে বিশেষাধিকারের দুর্বলতার উচ্চতা

কার্নেল ফাইল সিস্টেমে বিশেষাধিকারের দুর্বলতার উচ্চতা স্থানীয় ম্যালিয়াস অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে ইচ্ছামত কোড নির্বাহ করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে সমালোচক হিসাবে চিহ্নিত করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমটিকে পুনর্বিবেচনার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
CVE-2015-5706 এ -32289301
উজানের কার্নেল
সমালোচক কিছুই নেই * আগস্ট 1, 2016

* অ্যান্ড্রয়েড .0.০ বা তারপরে সমর্থিত গুগল ডিভাইসগুলি যা সমস্ত উপলব্ধ আপডেট ইনস্টল করেছে তারা এই দুর্বলতার দ্বারা প্রভাবিত হয় না।

এনভিআইডিআইএ জিপিইউ ড্রাইভারের সুবিধার্থে দুর্বলতার উচ্চতা

এনভিআইডিআইএ জিপিইউ ড্রাইভারের সুবিধার্থে দুর্বলতার একটি উচ্চতা স্থানীয় স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে ইচ্ছামত কোড নির্বাহ করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে সমালোচক হিসাবে চিহ্নিত করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমটিকে পুনর্বিবেচনার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
সিভিই -2017-8424 এ -31606947 *
N-CVE-2016-8424
সমালোচক নেক্সাস 9 17 সেপ্টেম্বর, 2016
সিভিই -2017-8425 এ -31797770 *
N-CVE-2016-8425
সমালোচক নেক্সাস 9 28 সেপ্টেম্বর, 2016
CVE-2016-8426 A-31799206 *
N-CVE-2016-8426
সমালোচক নেক্সাস 9 28 সেপ্টেম্বর, 2016
সিভিই -2017-8482 A-31799863 *
N-CVE-2016-8482 82
সমালোচক নেক্সাস 9 28 সেপ্টেম্বর, 2016
সিভিই -2017-8427 A-31799885 *
N-CVE-2016-8427
সমালোচক নেক্সাস 9 28 সেপ্টেম্বর, 2016
CVE-2016-8428 এ -31993456 *
N-CVE-2016-8428 28
সমালোচক নেক্সাস 9 অক্টোবর 6, 2016
CVE-2016-8429 এ -32160775 *
N-CVE-2016-8429
সমালোচক নেক্সাস 9 13 ই অক্টোবর, 2016
সিভিই -2017-8430 এ-32225180 *
N-CVE-2016-8430
সমালোচক নেক্সাস 9 17 ই অক্টোবর, 2016
CVE-2016-8431 এ -32402179 *
এন-সিভিই -2017-8431
সমালোচক পিক্সেল সি 25 অক্টোবর, 2016
CVE-2016-8432 এ -32447738 *
N-CVE-2016-8432
সমালোচক পিক্সেল সি 26 অক্টোবর, 2016

* এই ইস্যুটির প্যাচটি সর্বজনীনভাবে উপলভ্য নয়। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে রয়েছে।

মিডিয়াটেক ড্রাইভারগুলিতে সুবিধাবঞ্চিত দুর্বলতার উচ্চতা

মিডিয়াটেক ড্রাইভারের মধ্যে সুবিধাবঞ্চিত দুর্বলতার উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে ইচ্ছামত কোড নির্বাহ করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে সমালোচক হিসাবে চিহ্নিত করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমটিকে পুনর্বিবেচনার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
CVE-2016-8433 এ -31750190 *
এমটি-ALPS02974192
সমালোচক কিছুই নেই ** 24 সেপ্টেম্বর, 2016

* এই ইস্যুটির প্যাচটি সর্বজনীনভাবে উপলভ্য নয়। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে রয়েছে।

** অ্যান্ড্রয়েড .0.০ বা তারপরে সমর্থিত গুগল ডিভাইসগুলি যা সমস্ত উপলব্ধ আপডেট ইনস্টল করেছে তারা এই দুর্বলতার দ্বারা প্রভাবিত হয় না।

কোয়ালকম জিপিইউ ড্রাইভারের সুবিধার্থে দুর্বলতার উচ্চতা

কোয়ালকম জিপিইউ ড্রাইভারের সুবিধার্থে দুর্বলতার একটি উচ্চতা স্থানীয় ম্যালিয়াস অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড নির্বাহ করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে সমালোচক হিসাবে চিহ্নিত করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমটিকে পুনর্বিবেচনার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
সিভিই -2017-8434 এ -32125137
কিউসি-সিআর # 1081855
সমালোচক Nexus 5X, Nexus 6, Nexus 6P, Android One 12 অক্টোবর, 2016

এনভিআইডিআইএ জিপিইউ ড্রাইভারের সুবিধার্থে দুর্বলতার উচ্চতা

এনভিআইডিআইএ জিপিইউ ড্রাইভারের সুবিধার্থে দুর্বলতার একটি উচ্চতা স্থানীয় স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে ইচ্ছামত কোড নির্বাহ করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে সমালোচক হিসাবে চিহ্নিত করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমটিকে পুনর্বিবেচনার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
CVE-2016-8435 এ -32700935 *
N-CVE-2016-8435
সমালোচক পিক্সেল সি নভেম্বর 7, 2016

* এই ইস্যুটির প্যাচটি সর্বজনীনভাবে উপলভ্য নয়। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে রয়েছে।

কোয়ালকম ভিডিও ড্রাইভারের সুবিধার্থে দুর্বলতার উচ্চতা

কোয়ালকম ভিডিও ড্রাইভারের মধ্যে সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা স্থানীয় স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রেক্ষাপটে স্বেচ্ছাচারিত কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে সমালোচনামূলক হিসাবে রেট দেওয়া হয়েছে, যার জন্য ডিভাইসটি মেরামত করতে অপারেটিং সিস্টেমটিকে পুনর্বিবেচনার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
CVE-2016-8436 36 এ -32450261
কিউসি-সিআর # 1007860
সমালোচক কিছুই নেই * 13 ই অক্টোবর, 2016

* অ্যান্ড্রয়েড .0.০ বা তারপরে সমর্থিত গুগল ডিভাইসগুলি যা সমস্ত উপলব্ধ আপডেট ইনস্টল করেছে তারা এই দুর্বলতার দ্বারা প্রভাবিত হয় না।

কোয়ালকম উপাদানগুলিতে ক্ষয়ক্ষতি

নিম্নলিখিত দুর্বলতাগুলি কোয়ালকম উপাদানগুলিকে প্রভাবিত করে এবং কোয়ালকম এএমএস নভেম্বর 2015, আগস্ট 2016, সেপ্টেম্বর 2016 এবং অক্টোবর 2016 সুরক্ষা বুলেটিনগুলিতে আরও বিশদে বর্ণিত হয়েছে।

সিভিই তথ্যসূত্র নির্দয়তা* আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
CVE-2016-8438 এ -31624565 ** সমালোচক কিছুই নেই *** কোয়ালকম অভ্যন্তরীণ
CVE-2016-8442 A-31625910 ** সমালোচক কিছুই নেই *** কোয়ালকম অভ্যন্তরীণ
CVE-2016-8443 এ -32576499 ** সমালোচক কিছুই নেই *** কোয়ালকম অভ্যন্তরীণ
CVE-2016-8437 37 এ -31623057 ** উচ্চ কিছুই নেই *** কোয়ালকম অভ্যন্তরীণ
CVE-2016-8439 A-31625204 ** উচ্চ কিছুই নেই *** কোয়ালকম অভ্যন্তরীণ
CVE-2016-8440 A-31625306 ** উচ্চ কিছুই নেই *** কোয়ালকম অভ্যন্তরীণ
CVE-2016-8441 A-31625904 ** উচ্চ কিছুই নেই *** কোয়ালকম অভ্যন্তরীণ
CVE-2016-8398 A-31548486 ** উচ্চ নেক্সাস 5 এক্স, নেক্সাস 6, নেক্সাস 6 পি, অ্যান্ড্রয়েড ওয়ান কোয়ালকম অভ্যন্তরীণ
CVE-2016-8459 এ -32577972 ** উচ্চ কিছুই নেই *** কোয়ালকম অভ্যন্তরীণ
CVE-2016-5080 এ -31115235 ** মাঝারি নেক্সাস 5 এক্স কোয়ালকম অভ্যন্তরীণ

* এই দুর্বলতার জন্য তীব্রতা নির্ধারণকারী বিক্রেতা দ্বারা নির্ধারিত হয়েছিল।

** এই ইস্যুটির প্যাচটি সর্বজনীনভাবে উপলভ্য নয়। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে রয়েছে।

*** অ্যান্ড্রয়েড .0.০ বা তারপরে সমর্থিত গুগল ডিভাইসগুলি যা সমস্ত উপলব্ধ আপডেট ইনস্টল করেছে তারা এই দুর্বলতার দ্বারা প্রভাবিত হয় না।

কোয়ালকম ক্যামেরায় সুবিধাবঞ্চিত দুর্বলতার উচ্চতা

কোয়ালকম ক্যামেরায় সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে ইচ্ছামত কোড নির্বাহ করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটির জন্য প্রথমে কোনও সুবিধাযুক্ত প্রক্রিয়া সমঝোতার প্রয়োজন।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
CVE-2016-8412 এ -31225246
কিউসি-সিআর # 1071891
উচ্চ নেক্সাস 5 এক্স, নেক্সাস 6, নেক্সাস 6 পি, অ্যান্ড্রয়েড ওয়ান, পিক্সেল, পিক্সেল এক্সএল 26 আগস্ট, 2016
CVE-2016-8444 এ -31243641 *
কিউসি-সিআর # 1074310
উচ্চ নেক্সাস 5 এক্স, নেক্সাস 6, নেক্সাস 6 পি 26 আগস্ট, 2016

* এই ইস্যুটির প্যাচটি সর্বজনীনভাবে উপলভ্য নয়। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে রয়েছে।

মিডিয়াটেক উপাদানগুলিতে সুবিধাপূর্ণ দুর্বলতার উচ্চতা

থার্মাল ড্রাইভার এবং ভিডিও ড্রাইভার সহ মিডিয়াটেক উপাদানগুলিতে সুবিধাপ্রাপ্ত দুর্বলতার উচ্চতা, স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রেক্ষাপটে স্বেচ্ছাসেবক কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটির জন্য প্রথমে কোনও সুবিধাযুক্ত প্রক্রিয়া সমঝোতার প্রয়োজন।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
সিভিই -2017-8445 এ -31747590 *
এমটি-ALPS02968983
উচ্চ কিছুই নেই ** 25 সেপ্টেম্বর, 2016
CVE-2016-8446 6 এ -31747749 *
এমটি-ALPS02968909
উচ্চ কিছুই নেই ** 25 সেপ্টেম্বর, 2016
CVE-2016-8447 এ -31749463 *
এমটি-ALPS02968886
উচ্চ কিছুই নেই ** 25 সেপ্টেম্বর, 2016
CVE-2016-8448 এ -31791148 *
এমটি-ALPS02982181
উচ্চ কিছুই নেই ** 28 সেপ্টেম্বর, 2016

* এই ইস্যুটির প্যাচটি সর্বজনীনভাবে উপলভ্য নয়। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে রয়েছে।

** অ্যান্ড্রয়েড .0.০ বা তারপরে সমর্থিত গুগল ডিভাইসগুলি যা সমস্ত উপলব্ধ আপডেট ইনস্টল করেছে তারা এই দুর্বলতার দ্বারা প্রভাবিত হয় না।

কোয়ালকম ওয়াই-ফাই ড্রাইভারের সুবিধার্থে দুর্বলতার উচ্চতা

কোয়ালকম ওয়াই-ফাই ড্রাইভারের মধ্যে সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে ইচ্ছামত কোড নির্বাহ করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটির জন্য প্রথমে কোনও সুবিধাযুক্ত প্রক্রিয়া সমঝোতার প্রয়োজন।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
CVE-2016-8415 এ -31750554
কিউসি-সিআর # 1079596
উচ্চ নেক্সাস 5 এক্স, পিক্সেল, পিক্সেল এক্সএল 26 সেপ্টেম্বর, 2016

এনভিআইডিআইএ জিপিইউ ড্রাইভারের সুবিধার্থে দুর্বলতার উচ্চতা

এনভিআইডিআইএ জিপিইউ ড্রাইভারের সুবিধার্থে দুর্বলতার একটি উচ্চতা স্থানীয় স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে ইচ্ছামত কোড নির্বাহ করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটির জন্য প্রথমে কোনও সুবিধাযুক্ত প্রক্রিয়া সমঝোতার প্রয়োজন।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
CVE-2016-8449 এ -31798848 *
N-CVE-2016-8449
উচ্চ নেক্সাস 9 28 সেপ্টেম্বর, 2016

* এই ইস্যুটির প্যাচটি সর্বজনীনভাবে উপলভ্য নয়। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে রয়েছে।

কোয়ালকম সাউন্ড ড্রাইভারের সুবিধার্থে দুর্বলতার উচ্চতা

কোয়ালকম সাউন্ড ড্রাইভারের মধ্যে সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা স্থানীয় ম্যালিয়াস অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে ইচ্ছামত কোড নির্বাহ করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটির জন্য প্রথমে কোনও সুবিধাযুক্ত প্রক্রিয়া সমঝোতার প্রয়োজন।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
সিভিই -2017-8450 এ -32450563
কিউসি-সিআর # 880388
উচ্চ Nexus 5X, Nexus 6, Nexus 6P, Android One 13 ই অক্টোবর, 2016

সিনাপটিক্স টাচস্ক্রীন ড্রাইভারের সুবিধার্থে দুর্বলতার উচ্চতা

সিনাপটিক্স টাচস্ক্রীন ড্রাইভারের সুবিধার্থে দুর্বলতার একটি উচ্চতা স্থানীয় ম্যালিয়াস অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড নির্বাহ করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটির জন্য প্রথমে কোনও সুবিধাযুক্ত প্রক্রিয়া সমঝোতার প্রয়োজন।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
সিভিই -2017-8451 এ -32178033 * উচ্চ কিছুই নেই ** 13 ই অক্টোবর, 2016

* এই ইস্যুটির প্যাচটি সর্বজনীনভাবে উপলভ্য নয়। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে রয়েছে।

** অ্যান্ড্রয়েড .0.০ বা তারপরে সমর্থিত গুগল ডিভাইসগুলি যা সমস্ত উপলব্ধ আপডেট ইনস্টল করেছে তারা এই দুর্বলতার দ্বারা প্রভাবিত হয় না।

কার্নেল সুরক্ষা সাবসিস্টেমের সুবিধার্থে দুর্বলতার উচ্চতা

কার্নেল সুরক্ষা সাবসিস্টেমের সুবিধার্থে দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রেক্ষাপটে নির্বিচার কোড প্রয়োগ করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটির জন্য প্রথমে কোনও সুবিধাযুক্ত প্রক্রিয়া সমঝোতার প্রয়োজন।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
CVE-2016-7042 42 এ -32178986
উজানের কার্নেল
উচ্চ পিক্সেল সি 14 ই অক্টোবর, 2016

কার্নেল পারফরম্যান্স সাবসিস্টেমের সুবিধার্থে দুর্বলতার উচ্চতা

কার্নেল পারফরম্যান্স সাবসিস্টেমের সুবিধার্থে দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে ইচ্ছামত কোড নির্বাহ করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটির জন্য প্রথমে কোনও সুবিধাযুক্ত প্রক্রিয়া সমঝোতার প্রয়োজন।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
CVE-2017-0403 এ -32402548 * উচ্চ নেক্সাস 5 এক্স, নেক্সাস 6, নেক্সাস 6 পি, নেক্সাস 9, অ্যান্ড্রয়েড ওয়ান, পিক্সেল সি, নেক্সাস প্লেয়ার, পিক্সেল, পিক্সেল এক্সএল 25 অক্টোবর, 2016

* এই ইস্যুটির প্যাচটি সর্বজনীনভাবে উপলভ্য নয়। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে রয়েছে।

কার্নেল সাউন্ড সাবসিস্টেমের সুবিধার্থে দুর্বলতার উচ্চতা

কার্নেল সাউন্ড সাবসিস্টেমের সুবিধাবঞ্চিত দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রেক্ষাপটে স্বেচ্ছাচারিত কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটির জন্য প্রথমে কোনও সুবিধাযুক্ত প্রক্রিয়া সমঝোতার প্রয়োজন।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
CVE-2017-0404 এ -32510733 * উচ্চ নেক্সাস 5 এক্স, নেক্সাস 6 পি, নেক্সাস 9, পিক্সেল সি, নেক্সাস প্লেয়ার, পিক্সেল, পিক্সেল এক্সএল 27 অক্টোবর, 2016

* এই ইস্যুটির প্যাচটি সর্বজনীনভাবে উপলভ্য নয়। আপডেটটি Google বিকাশকারী সাইট থেকে উপলব্ধ নেক্সাস ডিভাইসের জন্য সর্বশেষতম বাইনারি ড্রাইভারগুলির মধ্যে রয়েছে।

কোয়ালকম ওয়াই-ফাই ড্রাইভারের সুবিধার্থে দুর্বলতার উচ্চতা

কোয়ালকম ওয়াই-ফাই ড্রাইভারের সুবিধার্থে দুর্বলতার একটি উচ্চতা স্থানীয় স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রেক্ষাপটে স্বেচ্ছাচারিত কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটির জন্য প্রথমে কোনও সুবিধাযুক্ত প্রক্রিয়া সমঝোতার প্রয়োজন।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
CVE-2016-8452 এ -32506396
কিউসি-সিআর # 1050323
উচ্চ নেক্সাস 5 এক্স, অ্যান্ড্রয়েড ওয়ান, পিক্সেল, পিক্সেল এক্সএল অক্টোবর 28, 2016

কোয়ালকম রেডিও ড্রাইভারের সুবিধার্থে দুর্বলতার উচ্চতা

কোয়ালকম রেডিও ড্রাইভারের সুবিধার্থে দুর্বলতার একটি উচ্চতা স্থানীয় স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রেক্ষাপটে স্বেচ্ছাচারিত কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটির জন্য প্রথমে কোনও সুবিধাযুক্ত প্রক্রিয়া সমঝোতার প্রয়োজন।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
সিভিই -2016-5345 এ -32639452
কিউসি-সিআর # 1079713
উচ্চ অ্যান্ড্রয়েড ওয়ান নভেম্বর 3, 2016

কার্নেল প্রোফাইলিং সাবসিস্টেমের সুবিধার্থে দুর্বলতার উচ্চতা

কার্নেল প্রোফাইলিং সাবসিস্টেমের সুবিধার্থে দুর্বলতার একটি উচ্চতা স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রেক্ষাপটে নির্বিচার কোড প্রয়োগ করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটির জন্য প্রথমে কোনও সুবিধাযুক্ত প্রক্রিয়া সমঝোতার প্রয়োজন।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
সিভিই -2017-9754 এ -32659848
উজানের কার্নেল
উচ্চ নেক্সাস 5 এক্স, নেক্সাস 6, নেক্সাস 6 পি, নেক্সাস 9, অ্যান্ড্রয়েড ওয়ান, পিক্সেল সি, নেক্সাস প্লেয়ার নভেম্বর 4, 2016

ব্রডকম ওয়াই-ফাই ড্রাইভারের সুবিধার্থে দুর্বলতার উচ্চতা

ব্রডকম ওয়াই-ফাই ড্রাইভারের সুবিধার্থে দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনটিকে কার্নেলের প্রসঙ্গে ইচ্ছামত কোড নির্বাহ করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট দেওয়া হয়েছে কারণ এটির জন্য প্রথমে কোনও সুবিধাযুক্ত প্রক্রিয়া সমঝোতার প্রয়োজন।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট হওয়া গুগল ডিভাইস তারিখ রিপোর্ট করা হয়েছে
সিভিই -2017-8453 এ-24739315 *
বি-আরবি # 73392
উচ্চ নেক্সাস 6 গুগল অভ্যন্তরীণ
CVE-2016-8454 A-32174590*
B-RB#107142
High Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Oct 14, 2016
CVE-2016-8455 A-32219121*
B-RB#106311
High Nexus 6P Oct 15, 2016
CVE-2016-8456 A-32219255*
B-RB#105580
High Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Oct 15, 2016
CVE-2016-8457 A-32219453*
B-RB#106116
High Nexus 6, Nexus 6P, Nexus 9, Pixel C Oct 15, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Synaptics touchscreen driver

An elevation of privilege vulnerability in the Synaptics touchscreen driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8458 A-31968442* High Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA video driver

An information disclosure vulnerability in the NVIDIA video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE References Severity Updated Google devices Date reported
CVE-2016-8460 A-31668540*
N-CVE-2016-8460
High Nexus 9 Sep 21, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in bootloader

An information disclosure vulnerability in the bootloader could enable a local attacker to access data outside of its permission level. This issue is rated as High because it could be used to access sensitive data.

CVE References Severity Updated Google devices Date reported
CVE-2016-8461 A-32369621* High Nexus 9, Pixel, Pixel XL Oct 21, 2016
CVE-2016-8462 A-32510383* High Pixel, Pixel XL Oct 27, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Denial of service vulnerability in Qualcomm FUSE file system

A denial of service vulnerability in the Qualcomm FUSE file system could enable a remote attacker to use a specially crafted file to cause a device hang or reboot. This issue is rated as High due to the possibility of remote denial of service.

CVE References Severity Updated Google devices Date reported
CVE-2016-8463 A-30786860
QC-CR#586855
High None* Jan 03, 2014

* Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Denial of service vulnerability in bootloader

A denial of service vulnerability in the bootloader could enable an attacker to cause a local permanent denial of service, which may require reflashing the operating system to repair the device. This issue is rated as High due to the possibility of local permanent denial of service.

CVE References Severity Updated Google devices Date reported
CVE-2016-8467 A-30308784* High Nexus 6, Nexus 6P Jun 29, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Broadcom Wi-Fi driver

An elevation of privilege vulnerability in the Broadcom Wi-Fi driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.

CVE References Severity Updated Google devices Date reported
CVE-2016-8464 A-29000183*
B-RB#106314
Moderate Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player May 26, 2016
CVE-2016-8466 A-31822524*
B-RB#105268
Moderate Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Sep 28, 2016
CVE-2016-8465 A-32474971*
B-RB#106053
Moderate Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Oct 27, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Binder

An elevation of privilege vulnerability in Binder could enable a local malicious application to execute arbitrary code within the context of a privileged process. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.

CVE References Severity Updated Google devices Date reported
CVE-2016-8468 A-32394425* Moderate Pixel C, Pixel, Pixel XL Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA camera driver

An information disclosure vulnerability in the camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8469 A-31351206*
N-CVE-2016-8469
Moderate Nexus 9 Sep 7, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek driver

An information disclosure vulnerability in the MediaTek driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8470 A-31528889*
MT-ALPS02961395
Moderate None** Sep 15, 2016
CVE-2016-8471 A-31528890*
MT-ALPS02961380
Moderate None** Sep 15, 2016
CVE-2016-8472 A-31531758*
MT-ALPS02961384
Moderate None** Sep 15, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Information disclosure vulnerability in STMicroelectronics driver

An information disclosure vulnerability in the STMicroelectronics driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8473 A-31795790* Moderate Nexus 5X, Nexus 6P Sep 28, 2016
CVE-2016-8474 A-31799972* Moderate Nexus 5X, Nexus 6P Sep 28, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm audio post processor

An information disclosure vulnerability in the Qualcomm audio post processor could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it could be used to access sensitive data without permission.

CVE References Severity Updated Google devices Updated AOSP versions Date reported
CVE-2017-0399 A-32588756 [ 2 ] Moderate All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 18, 2016
CVE-2017-0400 A-32438598 [ 2 ] Moderate All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 25, 2016
CVE-2017-0401 A-32588016 Moderate All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 26, 2016
CVE-2017-0402 A-32588352 [ 2 ] Moderate All 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 25, 2016

Information disclosure vulnerability in HTC input driver

An information disclosure vulnerability in the HTC input driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Google devices Date reported
CVE-2016-8475 A-32591129* Moderate Pixel, Pixel XL Oct 30, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Denial of service vulnerability in kernel file system

A denial of service vulnerability in the kernel file system could enable a local malicious application to cause a device hang or reboot. This issue is rated as Moderate because it is a temporary denial of service that requires a factory reset to fix.

CVE References Severity Updated Google devices Date reported
CVE-2014-9420 A-32477499
Upstream kernel
Moderate Pixel C Dec 25, 2014

Common Questions and Answers

This section answers common questions that may occur after reading this bulletin.

1. How do I determine if my device is updated to address these issues?

To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .

  • Security patch levels of 2017-01-01 or later address all issues associated with the 2017-01-01 security patch level.
  • Security patch levels of 2017-01-05 or later address all issues associated with the 2017-01-05 security patch level and all previous patch levels.

Device manufacturers that include these updates should set the patch string level to:

  • [ro.build.version.security_patch]:[2017-01-01]
  • [ro.build.version.security_patch]:[2017-01-05]

2. Why does this bulletin have two security patch levels?

This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.

  • Devices that use the January 1, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of January 5, 2017 or newer must include all applicable patches in this (and previous) security bulletins.

Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.

3. How do I determine which Google devices are affected by each issue?

In the 2017-01-01 and 2017-01-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running the latest available version of Android are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix রেফারেন্স
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number
B- Broadcom reference number

Revisions

  • January 03, 2017: Bulletin published.
  • January 04, 2017: Bulletin revised to include AOSP links.
  • January 05, 2017: Clarified AOSP version number from 7.1 to 7.1.1.
  • January 12, 2017: Removed duplicate entry for CVE-2016-8467.
  • January 24, 2017: Updated description and severity for CVE-2017-0381.
  • February 2, 2017: Updated CVE-2017-0389 with additional patch link.