অ্যান্ড্রয়েড নিরাপত্তা বুলেটিন—ফেব্রুয়ারি 2017

প্রকাশিত ফেব্রুয়ারি 06, 2017 | ফেব্রুয়ারী 8, 2017 আপডেট করা হয়েছে

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ বুলেটিনের পাশাপাশি, আমরা একটি ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Google ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। গুগল ডিভাইসের ফার্মওয়্যারের ছবিগুলোও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। 05 ফেব্রুয়ারী, 2017 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যাগুলির সমাধান করে৷ একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে চেক করতে হয় তা জানতে Pixel এবং Nexus আপডেটের সময়সূচী পড়ুন।

03 জানুয়ারী, 2017 বা তার আগে বুলেটিনে বর্ণিত সমস্যাগুলির বিষয়ে অংশীদারদের অবহিত করা হয়েছিল৷ এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণ বা অপব্যবহারের কোনও রিপোর্ট নেই। Android নিরাপত্তা প্ল্যাটফর্ম সুরক্ষা এবং SafetyNet- এর মতো পরিষেবা সুরক্ষা সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google পরিষেবা প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে৷

আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷

ঘোষণা

  • এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তরের স্ট্রিং রয়েছে যা Android অংশীদারদের আরও দ্রুত দুর্বলতার একটি উপসেট ঠিক করার জন্য নমনীয়তা প্রদান করে যা সমস্ত Android ডিভাইসে একই রকম। অতিরিক্ত তথ্যের জন্য সাধারণ প্রশ্ন এবং উত্তর দেখুন:
    • 2017-02-01 : আংশিক নিরাপত্তা প্যাচ স্তরের স্ট্রিং। এই নিরাপত্তা প্যাচ স্তরের স্ট্রিংটি নির্দেশ করে যে 2017-02-01 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷
    • 2017-02-05 : সম্পূর্ণ নিরাপত্তা প্যাচ স্তরের স্ট্রিং। এই নিরাপত্তা প্যাচ স্তরের স্ট্রিংটি নির্দেশ করে যে 2017-02-01 এবং 2017-02-05 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷
  • সমর্থিত Google ডিভাইসগুলি ফেব্রুয়ারি 05, 2017 নিরাপত্তা প্যাচ স্তরের সাথে একটি একক OTA আপডেট পাবে।

অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করে, যা ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করার জন্য ডিজাইন করা হয়েছে৷ Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে ডিফল্টরূপে অ্যাপগুলি যাচাই করা সক্রিয় থাকে এবং বিশেষ করে ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন৷ ডিভাইস রুট করার টুলগুলি Google Play-এর মধ্যে নিষিদ্ধ, কিন্তু ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীদের সতর্ক করে যখন তারা একটি শনাক্ত রুটিং অ্যাপ্লিকেশন ইনস্টল করার চেষ্টা করে—সেটি যেখান থেকেই আসুক না কেন। উপরন্তু, ভেরিফাই অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তবে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং সনাক্ত করা অ্যাপ্লিকেশনটি সরানোর চেষ্টা করবে৷
  • উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।

স্বীকৃতি

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

আমরা এই বুলেটিনে তাদের অবদানের জন্য নিম্নলিখিতগুলিকে ধন্যবাদ জানাতে চাই:

  • পেংফেই ডিং (丁鹏飞), চেনফু বাও (包沉浮), এবং বাইদু এক্স-ল্যাবের লেনক্স ওয়েই (韦韬) (百度安全实验室)

2017-02-01 নিরাপত্তা প্যাচ স্তর — দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2017-02-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট রেফারেন্স, তীব্রতা, আপডেট করা Google ডিভাইস, আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য), এবং রিপোর্ট করা তারিখ রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করব। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

সারফেসফ্লিংগারে রিমোট কোড এক্সিকিউশন দুর্বলতা

সারফেসফ্লিংগারে একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা মিডিয়া ফাইল এবং ডেটা প্রক্রিয়াকরণের সময় মেমরি দুর্নীতির কারণ হতে একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে আক্রমণকারীকে সক্ষম করতে পারে। সারফেসফ্লিংগার প্রক্রিয়ার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0405 এ-31960359 সমালোচনামূলক সব 7.0, 7.1.1 4 অক্টোবর, 2016

মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা

মিডিয়া সার্ভারে একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি আক্রমণকারীকে একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে মিডিয়া ফাইল এবং ডেটা প্রক্রিয়াকরণের সময় মেমরি দুর্নীতির কারণ হতে পারে। মিডিয়াসার্ভার প্রক্রিয়ার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে সমালোচনামূলক হিসাবে রেট করা হয়েছে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0406 A-32915871 [ 2 ] সমালোচনামূলক সব 6.0, 6.0.1, 7.0, 7.1.1 14 নভেম্বর, 2016
CVE-2017-0407 এ-32873375 সমালোচনামূলক সব 6.0, 6.0.1, 7.0, 7.1.1 নভেম্বর 12, 2016

libgdx এ রিমোট কোড এক্সিকিউশন দুর্বলতা

libgdx-এ একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে আক্রমণকারীকে একটি সুবিধাহীন প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই লাইব্রেরি ব্যবহার করে এমন একটি অ্যাপ্লিকেশনে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0408 এ-32769670 উচ্চ সব 7.1.1 নভেম্বর 9, 2016

লিবস্টেজফ্রাইটে দূরবর্তী কোড কার্যকর করার দুর্বলতা

libstagefright-এ একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে আক্রমণকারীকে একটি সুবিধাহীন প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই লাইব্রেরি ব্যবহার করে এমন একটি অ্যাপ্লিকেশনে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0409 A-31999646 উচ্চ সব 6.0, 6.0.1, 7.0, 7.1.1 গুগল অভ্যন্তরীণ

Java.Net-এ বিশেষাধিকার দুর্বলতার উচ্চতা

Java.Net লাইব্রেরিতে বিশেষাধিকারের একটি উচ্চতা দূষিত ওয়েব সামগ্রীকে সুস্পষ্ট অনুমতি ছাড়াই একজন ব্যবহারকারীকে অন্য ওয়েবসাইটে পুনঃনির্দেশিত করতে সক্ষম করতে পারে। এই সমস্যাটি উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তার একটি দূরবর্তী বাইপাস।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-5552 এ-31858037 উচ্চ সব 7.0, 7.1.1 30 সেপ্টেম্বর, 2016

ফ্রেমওয়ার্ক এপিআই-এ বিশেষাধিকার দুর্বলতার উচ্চতা

ফ্রেমওয়ার্ক এপিআই-এ বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যা সাধারণত তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0410 এ-31929765 উচ্চ সব 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 অক্টোবর, 2016
CVE-2017-0411 A-33042690 [ 2 ] উচ্চ সব 7.0, 7.1.1 নভেম্বর 21, 2016
CVE-2017-0412 A-33039926 [ 2 ] উচ্চ সব 7.0, 7.1.1 নভেম্বর 21, 2016

মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা

মিডিয়াসার্ভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যা সাধারণত তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0415 এ-32706020 উচ্চ সব 6.0, 6.0.1, 7.0, 7.1.1 নভেম্বর 4, 2016

অডিও সার্ভারে বিশেষাধিকারের দুর্বলতার উচ্চতা

অডিওসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যা সাধারণত তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0416 A-32886609 [ 2 ] উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 গুগল অভ্যন্তরীণ
CVE-2017-0417 এ-32705438 উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 নভেম্বর 7, 2016
CVE-2017-0418 A-32703959 [ 2 ] উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 নভেম্বর 7, 2016
CVE-2017-0419 এ-32220769 উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 অক্টোবর, 2016

AOSP মেলে তথ্য প্রকাশের দুর্বলতা

AOSP মেলে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অপারেটিং সিস্টেম সুরক্ষাগুলি বাইপাস করতে সক্ষম করতে পারে যা অন্যান্য অ্যাপ্লিকেশন থেকে অ্যাপ্লিকেশন ডেটা বিচ্ছিন্ন করে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি এমন ডেটাতে অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে যা অ্যাপ্লিকেশনটির অ্যাক্সেস নেই৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0420 এ-32615212 উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 সেপ্টেম্বর 12, 2016

AOSP মেসেজিং-এ তথ্য প্রকাশের দুর্বলতা

AOSP মেসেজিং-এ একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অপারেটিং সিস্টেম সুরক্ষাগুলিকে বাইপাস করতে সক্ষম করতে পারে যা অন্যান্য অ্যাপ্লিকেশন থেকে অ্যাপ্লিকেশন ডেটা বিচ্ছিন্ন করে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি এমন ডেটাতে অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে যা অ্যাপ্লিকেশনটির অ্যাক্সেস নেই৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0413 এ-32161610 উচ্চ সব 6.0, 6.0.1, 7.0, 7.1.1 13 অক্টোবর, 2016
CVE-2017-0414 এ-32807795 উচ্চ সব 6.0, 6.0.1, 7.0, 7.1.1 নভেম্বর 10, 2016

ফ্রেমওয়ার্ক API-এ তথ্য প্রকাশের দুর্বলতা

ফ্রেমওয়ার্ক এপিআই-এ একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অপারেটিং সিস্টেম সুরক্ষা বাইপাস করতে সক্ষম করতে পারে যা অন্যান্য অ্যাপ্লিকেশন থেকে অ্যাপ্লিকেশন ডেটা বিচ্ছিন্ন করে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি এমন ডেটাতে অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে যা অ্যাপ্লিকেশনটির অ্যাক্সেস নেই৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0421 A-32555637 উচ্চ সব 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 গুগল অভ্যন্তরীণ

বায়োনিক ডিএনএস-এ পরিষেবার দুর্বলতা অস্বীকার করা

বায়োনিক ডিএনএস-এ পরিষেবার দুর্বলতা অস্বীকার করা একটি দূরবর্তী আক্রমণকারীকে একটি ডিভাইস হ্যাং বা রিবুট করার জন্য একটি বিশেষভাবে তৈরি করা নেটওয়ার্ক প্যাকেট ব্যবহার করতে সক্ষম করতে পারে। দূরবর্তী পরিষেবা অস্বীকার করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0422 এ-32322088 উচ্চ সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 অক্টোবর, 2016

ব্লুটুথ-এ বিশেষাধিকার দুর্বলতার উচ্চতা

ব্লুটুথ-এ বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি আনুমানিক আক্রমণকারীকে ডিভাইসে নথিতে অ্যাক্সেস পরিচালনা করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে ব্লুটুথ স্ট্যাকের একটি পৃথক দুর্বলতার শোষণ প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0423 এ-32612586 পরিমিত সব 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2শে নভেম্বর, 2016

AOSP মেসেজিং-এ তথ্য প্রকাশের দুর্বলতা

AOSP মেসেজিং-এ একটি তথ্য প্রকাশের দুর্বলতা একটি বিশেষ কারুকাজ করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে অনুমতির স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি একটি সাধারণ বাইপাস যা ব্যবহারকারীর স্তরের প্রতিরক্ষার গভীরতা বা সুবিধাপ্রাপ্ত প্রক্রিয়ায় প্রশমন প্রযুক্তি ব্যবহার করে৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0424 এ-32322450 পরিমিত সব 6.0, 6.0.1, 7.0, 7.1.1 20 অক্টোবর, 2016

অডিও সার্ভারে তথ্য প্রকাশের দুর্বলতা

অডিও সার্ভারে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0425 এ-32720785 পরিমিত সব 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 নভেম্বর 7, 2016

ফাইল সিস্টেমে তথ্য প্রকাশের দুর্বলতা

ফাইল সিস্টেমে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2017-0426 A-32799236 [ 2 ] পরিমিত সব 7.0, 7.1.1 গুগল অভ্যন্তরীণ

2017-02-05 নিরাপত্তা প্যাচ লেভেল—ভালনারেবিলিটি বিশদ

নীচের বিভাগগুলিতে, আমরা 2017-02-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট রেফারেন্স, তীব্রতা, আপডেট করা Google ডিভাইস, আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য), এবং রিপোর্ট করা তারিখ রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করব। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

Qualcomm ক্রিপ্টো ড্রাইভারের রিমোট কোড এক্সিকিউশন দুর্বলতা

Qualcomm ক্রিপ্টো ড্রাইভারে একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি দূরবর্তী আক্রমণকারীকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। কার্নেলের প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-8418 এ-32652894
QC-CR#1077457
সমালোচনামূলক কোনটিই না* অক্টোবর 10, 2016

* Android 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷

কার্নেল ফাইল সিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা

কার্নেল ফাইল সিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2017-0427 A-31495866* সমালোচনামূলক Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 13 সেপ্টেম্বর, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

NVIDIA GPU ড্রাইভারে বিশেষাধিকারের দুর্বলতার উচ্চতা

NVIDIA GPU ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2017-0428 A-32401526*
N-CVE-2017-0428
সমালোচনামূলক নেক্সাস 9 25 অক্টোবর, 2016
CVE-2017-0429 A-32636619*
N-CVE-2017-0429
সমালোচনামূলক নেক্সাস 9 নভেম্বর 3, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কার্নেল নেটওয়ার্কিং সাবসিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা

কার্নেল নেটওয়ার্কিং সাবসিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2014-9914 এ-32882659
আপস্ট্রিম কার্নেল
সমালোচনামূলক নেক্সাস 6, নেক্সাস প্লেয়ার নভেম্বর 9, 2016

ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2017-0430 A-32838767*
B-RB#107459
সমালোচনামূলক Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player গুগল অভ্যন্তরীণ

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কোয়ালকম উপাদানে দুর্বলতা

নিম্নলিখিত দুর্বলতা Qualcomm উপাদানগুলিকে প্রভাবিত করে এবং Qualcomm AMSS সেপ্টেম্বর 2016 নিরাপত্তা বুলেটিনে আরও বিশদে বর্ণনা করা হয়েছে।

সিভিই তথ্যসূত্র নির্দয়তা* আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2017-0431 A-32573899** সমালোচনামূলক কোনটিই না *** কোয়ালকম অভ্যন্তরীণ

* এই দুর্বলতার জন্য তীব্রতা রেটিং বিক্রেতা দ্বারা নির্ধারিত হয়েছিল।

** এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

*** অ্যান্ড্রয়েড 7.0 বা তার পরবর্তী সংস্করণে সমর্থিত Google ডিভাইসগুলি যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে সেগুলি এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷

মিডিয়াটেক ড্রাইভারে বিশেষাধিকারের দুর্বলতা বৃদ্ধি

মিডিয়াটেক ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2017-0432 A-28332719*
M-ALPS02708925
উচ্চ কোনটিই** এপ্রিল 21, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

** সমর্থিত Google ডিভাইসগুলি Android 7.0 বা তার পরে যে সমস্ত উপলব্ধ আপডেটগুলি ইনস্টল করেছে তারা এই দুর্বলতার দ্বারা প্রভাবিত হয় না৷

Synaptics টাচস্ক্রিন ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

Synaptics টাচস্ক্রিন ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে টাচস্ক্রিন চিপসেটের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2017-0433 A-31913571* উচ্চ Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL সেপ্টেম্বর 8, 2016
CVE-2017-0434 A-33001936* উচ্চ পিক্সেল, পিক্সেল এক্সএল নভেম্বর 18, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কোয়ালকম সিকিউর এক্সিকিউশন এনভায়রনমেন্ট কমিউনিকেটর ড্রাইভারে বিশেষাধিকারের দুর্বলতা বৃদ্ধি

কোয়ালকম সিকিউর এক্সিকিউশন এনভায়রনমেন্ট কমিউনিকেটর ড্রাইভে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-8480 এ-31804432
QC-CR#1086186 [ 2 ]
উচ্চ Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL সেপ্টেম্বর 28, 2016

Qualcomm সাউন্ড ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

Qualcomm সাউন্ড ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-8481 A-31906415*
QC-CR#1078000
উচ্চ Nexus 5X, Nexus 6P, Pixel, Pixel XL 1 অক্টোবর, 2016
CVE-2017-0435 A-31906657*
QC-CR#1078000
উচ্চ Nexus 5X, Nexus 6P, Pixel, Pixel XL 1 অক্টোবর, 2016
CVE-2017-0436 A-32624661*
QC-CR#1078000
উচ্চ Nexus 5X, Nexus 6P, Pixel, Pixel XL 2শে নভেম্বর, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

Qualcomm Wi-Fi ড্রাইভারে বিশেষাধিকারের দুর্বলতার উচ্চতা

কোয়ালকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2017-0437 এ-32402310
QC-CR#1092497
উচ্চ Nexus 5X, Pixel, Pixel XL 25 অক্টোবর, 2016
CVE-2017-0438 এ-32402604
QC-CR#1092497
উচ্চ Nexus 5X, Pixel, Pixel XL 25 অক্টোবর, 2016
CVE-2017-0439 A-32450647
QC-CR#1092059
উচ্চ Nexus 5X, Pixel, Pixel XL 25 অক্টোবর, 2016
CVE-2016-8419 এ-32454494
QC-CR#1087209
উচ্চ Nexus 5X, Pixel, Pixel XL 26 অক্টোবর, 2016
CVE-2016-8420 এ-32451171
QC-CR#1087807
উচ্চ Nexus 5X, Pixel, Pixel XL 26 অক্টোবর, 2016
CVE-2016-8421 A-32451104
QC-CR#1087797
উচ্চ Nexus 5X, Pixel, Pixel XL 26 অক্টোবর, 2016
CVE-2017-0440 এ-33252788
QC-CR#1095770
উচ্চ Nexus 5X, Pixel, Pixel XL 11 নভেম্বর, 2016
CVE-2017-0441 এ-32872662
QC-CR#1095009
উচ্চ Nexus 5X, Pixel, Pixel XL 11 নভেম্বর, 2016
CVE-2017-0442 এ-32871330
QC-CR#1092497
উচ্চ Nexus 5X, Pixel, Pixel XL 13 নভেম্বর, 2016
CVE-2017-0443 এ-32877494
QC-CR#1092497
উচ্চ Nexus 5X, Pixel, Pixel XL 13 নভেম্বর, 2016
CVE-2016-8476 এ-32879283
QC-CR#1091940
উচ্চ Nexus 5X, Pixel, Pixel XL 14 নভেম্বর, 2016

Realtek সাউন্ড ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

রিয়েলটেক সাউন্ড ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2017-0444 A-32705232* উচ্চ নেক্সাস 9 নভেম্বর 7, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

এইচটিসি টাচস্ক্রিন ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

এইচটিসি টাচস্ক্রিন ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2017-0445 A-32769717* উচ্চ পিক্সেল, পিক্সেল এক্সএল নভেম্বর 9, 2016
CVE-2017-0446 A-32917445* উচ্চ পিক্সেল, পিক্সেল এক্সএল নভেম্বর 15, 2016
CVE-2017-0447 A-32919560* উচ্চ পিক্সেল, পিক্সেল এক্সএল নভেম্বর 15, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

NVIDIA ভিডিও ড্রাইভারে তথ্য প্রকাশের দুর্বলতা

NVIDIA ভিডিও ড্রাইভারে তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অনুমতির মাত্রার বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি ব্যবহারকারীর স্পষ্ট অনুমতি ছাড়াই সংবেদনশীল ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2017-0448 A-32721029*
N-CVE-2017-0448
উচ্চ নেক্সাস 9 নভেম্বর 7, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করতে হবে এবং বর্তমান প্ল্যাটফর্ম কনফিগারেশন দ্বারা প্রশমিত হয়৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2017-0449 A-31707909*
B-RB#32094
পরিমিত Nexus 6, Nexus 6P 23 সেপ্টেম্বর, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

অডিও সার্ভারে বিশেষাধিকারের দুর্বলতার উচ্চতা

অডিওসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। বর্তমান প্ল্যাটফর্ম কনফিগারেশন দ্বারা এটি প্রশমিত হওয়ার কারণে এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2017-0450 A-32917432* পরিমিত নেক্সাস 9 নভেম্বর 15, 2016

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কার্নেল ফাইল সিস্টেমে বিশেষাধিকার দুর্বলতার উচ্চতা

কার্নেল ফাইল সিস্টেমে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সুরক্ষাগুলি বাইপাস করতে সক্ষম করতে পারে যা বিশেষাধিকারের বৃদ্ধি রোধ করে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি একটি সাধারণ বাইপাস যা ব্যবহারকারীর স্তরের প্রতিরক্ষার গভীরতা বা শোষণ প্রশমন প্রযুক্তির জন্য।

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-10044 A-31711619* পরিমিত Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL গুগল অভ্যন্তরীণ

* এই সমস্যার জন্য প্যাচ সর্বজনীনভাবে উপলব্ধ নয়। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কোয়ালকম সিকিউর এক্সিকিউশন এনভায়রনমেন্ট কমিউনিকেটরে তথ্য প্রকাশের দুর্বলতা

Qualcomm Secure Execution Environment Communicator-এ তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অনুমতির মাত্রার বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2016-8414 এ-31704078
QC-CR#1076407
পরিমিত Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 23 সেপ্টেম্বর, 2016

Qualcomm সাউন্ড ড্রাইভারে তথ্য প্রকাশের দুর্বলতা

Qualcomm সাউন্ড ড্রাইভারে তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে অনুমতির মাত্রার বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার সাথে আপস করা প্রয়োজন৷

সিভিই তথ্যসূত্র নির্দয়তা আপডেট করা Google ডিভাইস তারিখ রিপোর্ট
CVE-2017-0451 এ-31796345
QC-CR#1073129 [ 2 ]
পরিমিত Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL সেপ্টেম্বর 27, 2016

সাধারণ প্রশ্ন ও উত্তর

এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

কিভাবে একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর চেক করতে হয় তা জানতে, Pixel এবং Nexus আপডেট শিডিউলের নির্দেশাবলী পড়ুন।

  • 2017-02-01 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2017-02-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।
  • 2017-02-05 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি 2017-02-05 সুরক্ষা প্যাচ স্তর এবং সমস্ত পূর্ববর্তী প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যাকে সম্বোধন করে।

এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:

  • [ro.build.version.security_patch]:[2017-02-01]
  • [ro.build.version.security_patch]:[2017-02-05]

2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?

এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷

  • যে ডিভাইসগুলি ফেব্রুয়ারি 1, 2017 নিরাপত্তা প্যাচ স্তর ব্যবহার করে সেগুলি অবশ্যই সেই নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত করতে হবে।
  • যে ডিভাইসগুলি 5 ফেব্রুয়ারি, 2017 বা তার থেকে নতুন নিরাপত্তা প্যাচ স্তর ব্যবহার করে সেগুলিকে অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।

অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷

3. প্রতিটি সমস্যা দ্বারা কোন Google ডিভাইসগুলি প্রভাবিত হয় তা আমি কীভাবে নির্ধারণ করব?

2017-02-01 এবং 2017-02-05 নিরাপত্তা দুর্বলতার বিবরণ বিভাগে, প্রতিটি টেবিলে একটি আপডেট করা Google ডিভাইসের কলাম রয়েছে যা প্রতিটি সমস্যার জন্য আপডেট হওয়া প্রভাবিত Google ডিভাইসগুলির পরিসর কভার করে। এই কলামে কয়েকটি বিকল্প রয়েছে:

  • সমস্ত Google ডিভাইস : যদি কোনো সমস্যা সমস্ত এবং পিক্সেল ডিভাইসগুলিকে প্রভাবিত করে, তাহলে আপডেট করা Google ডিভাইসের কলামে টেবিলটিতে "সমস্ত" থাকবে। "সমস্ত" নিম্নলিখিত সমর্থিত ডিভাইসগুলিকে এনক্যাপসুলেট করে: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, এবং Pixel XL৷
  • কিছু Google ডিভাইস : যদি কোনো সমস্যা সমস্ত Google ডিভাইসকে প্রভাবিত না করে, তাহলে প্রভাবিত Google ডিভাইসগুলি আপডেট করা Google ডিভাইস কলামে তালিকাভুক্ত করা হয়।
  • কোনো Google ডিভাইস নেই : যদি Android 7.0 চালিত কোনো Google ডিভাইস সমস্যা দ্বারা প্রভাবিত না হয়, তাহলে আপডেট করা Google ডিভাইসের কলামে টেবিলটিতে "কোনটিই" থাকবে না।

4. রেফারেন্স কলামের এন্ট্রিগুলি কিসের সাথে মানচিত্র করে?

দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে। এই উপসর্গগুলি নিম্নরূপ মানচিত্র:

উপসর্গ রেফারেন্স
ক- অ্যান্ড্রয়েড বাগ আইডি
QC- কোয়ালকম রেফারেন্স নম্বর
এম- মিডিয়াটেক রেফারেন্স নম্বর
এন- NVIDIA রেফারেন্স নম্বর
খ- ব্রডকম রেফারেন্স নম্বর

রিভিশন

  • ফেব্রুয়ারি 06, 2017: বুলেটিন প্রকাশিত।
  • ফেব্রুয়ারী 08, 2017: AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।