অ্যান্ড্রয়েড নিরাপত্তা বুলেটিন—অক্টোবর 2017

প্রকাশিত অক্টোবর 2, 2017 | 3 অক্টোবর, 2017 আপডেট করা হয়েছে

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ অক্টোবর 05, 2017 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে৷ একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।

অ্যান্ড্রয়েড অংশীদারদের প্রকাশনার অন্তত এক মাস আগে সমস্ত সমস্যা সম্পর্কে অবহিত করা হয়। এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল মিডিয়া ফ্রেমওয়ার্কের একটি গুরুতর তীব্রতা দুর্বলতা যা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি প্রিভিলেজড প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি দূরবর্তী আক্রমণকারীকে সক্ষম করতে পারে। প্ল্যাটফর্ম এবং পরিষেবা প্রশমনগুলি উন্নয়নের উদ্দেশ্যে বন্ধ করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণ বা অপব্যবহারের কোনও রিপোর্ট নেই। Android সিকিউরিটি প্ল্যাটফর্ম সুরক্ষা এবং Google Play Protect সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google Play Protect প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে।

আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷

দ্রষ্টব্য: সর্বশেষ ওভার-দ্য-এয়ার আপডেট (OTA) এবং Google ডিভাইসগুলির জন্য ফার্মওয়্যার চিত্রগুলির তথ্য অক্টোবর 2017 Pixel / Nexus নিরাপত্তা বুলেটিনে উপলব্ধ৷

ঘোষণা

  • আমরা একটি নতুন মাসিক Pixel / Nexus সিকিউরিটি বুলেটিন চালু করেছি, যাতে Pixel এবং Nexus ডিভাইসে অতিরিক্ত নিরাপত্তা দুর্বলতা এবং কার্যকরী উন্নতির তথ্য রয়েছে। অ্যান্ড্রয়েড ডিভাইস নির্মাতারা তাদের ডিভাইসে এই সমস্যাগুলি সমাধান করতে বেছে নিতে পারে। অতিরিক্ত তথ্যের জন্য সাধারণ প্রশ্ন এবং উত্তর দেখুন
  • নিরাপত্তা বুলেটিন স্বীকৃতিগুলি এখন সরাসরি Android নিরাপত্তা স্বীকৃতি পৃষ্ঠায় তালিকাভুক্ত করা হয়েছে।

অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং পরিষেবা সুরক্ষা যেমন Google Play Protect দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android নিরাপত্তা দল সক্রিয়ভাবে Google Play Protect- এর মাধ্যমে অপব্যবহারের জন্য নজরদারি করে এবং ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে। Google Play Protect ডিফল্টরূপে Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে সক্রিয় থাকে এবং বিশেষত সেই ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপগুলি ইনস্টল করেন৷

2017-10-01 নিরাপত্তা প্যাচ স্তর — দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2017-10-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাটির বর্ণনা এবং CVE, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) সহ একটি টেবিল রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা অতিরিক্ত অনুমতিগুলিতে অ্যাক্সেস পাওয়ার জন্য ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তাগুলিকে বাইপাস করতে একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2017-0806 এ-62998805 ইওপি উচ্চ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

মিডিয়া ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2017-0809 এ-62673128 আরসিই সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0810 এ-38207066 আরসিই সমালোচনামূলক 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0811 এ-37930177 আরসিই সমালোচনামূলক 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0812 এ-62873231 ইওপি উচ্চ 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0815 এ-63526567 আইডি পরিমিত 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0816 এ-63662938 আইডি পরিমিত 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

পদ্ধতি

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি প্রিভিলেজড প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি প্রক্সিমেট আক্রমণকারীকে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2017-14496 A-64575136 [ 2 ] আরসিই উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

2017-10-05 নিরাপত্তা প্যাচ স্তর — দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2017-10-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি সেই উপাদানগুলির অধীনে গোষ্ঠীভুক্ত করা হয় যা তারা প্রভাবিত করে এবং বিশদগুলি অন্তর্ভুক্ত করে যেমন CVE, সম্পর্কিত রেফারেন্স, দুর্বলতার ধরন , তীব্রতা , উপাদান (যেখানে প্রযোজ্য), এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য)। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

কার্নেল উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-7374 এ-37866910
আপস্ট্রিম কার্নেল
ইওপি উচ্চ নথি ব্যবস্থা
CVE-2017-9075 এ-62298712
আপস্ট্রিম কার্নেল
ইওপি উচ্চ নেটওয়ার্ক সাবসিস্টেম

মিডিয়াটেক উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-0827 A-62539960 *
M-ALPS03353876
M-ALPS03353861
M-ALPS03353869
M-ALPS03353867
M-ALPS03353872
ইওপি উচ্চ SoC ড্রাইভার

কোয়ালকম উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-11053 A-36895857 *
QC-CR#2061544
আরসিই সমালোচনামূলক SoC ড্রাইভার
CVE-2017-9714 এ-63868020
QC-CR#2046578
ইওপি সমালোচনামূলক নেটওয়ার্ক সাবসিস্টেম
CVE-2017-9683 এ-62379105
QC-CR#2036397
ইওপি উচ্চ লিনাক্স বুট

সাধারণ প্রশ্ন এবং উত্তর

এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।

  • 2017-10-01 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2017-10-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করে।
  • 2017-10-05 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি 2017-10-05 নিরাপত্তা প্যাচ স্তর এবং সমস্ত পূর্ববর্তী প্যাচ স্তরগুলির সাথে সম্পর্কিত সমস্ত সমস্যাগুলি সমাধান করে৷

এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:

  • [ro.build.version.security_patch]:[2017-10-01]
  • [ro.build.version.security_patch]:[2017-10-05]

2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?

এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷

  • 2017-10-01 নিরাপত্তা প্যাচ স্তর ব্যবহার করে এমন ডিভাইসগুলিতে সেই নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত করতে হবে।
  • যে ডিভাইসগুলি 2017-10-05 বা নতুনের নিরাপত্তা প্যাচ স্তর ব্যবহার করে সেগুলিকে অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।

অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷

3. টাইপ কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ টেবিলের টাইপ কলামের এন্ট্রি নিরাপত্তা দুর্বলতার শ্রেণীবিভাগ উল্লেখ করে।

সংক্ষিপ্ত রূপ সংজ্ঞা
আরসিই রিমোট কোড এক্সিকিউশন
ইওপি বিশেষাধিকারের উচ্চতা
আইডি তথ্য প্রকাশ
DoS সেবা দিতে অস্বীকার করা
N/A শ্রেণীবিভাগ উপলব্ধ নয়

4. রেফারেন্স কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে।

উপসর্গ রেফারেন্স
ক- অ্যান্ড্রয়েড বাগ আইডি
QC- কোয়ালকম রেফারেন্স নম্বর
এম- মিডিয়াটেক রেফারেন্স নম্বর
এন- NVIDIA রেফারেন্স নম্বর
খ- ব্রডকম রেফারেন্স নম্বর

5. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে * এর অর্থ কী?

যে সমস্যাগুলি সর্বজনীনভাবে উপলব্ধ নয় সেগুলির রেফারেন্স কলামে Android বাগ আইডির পাশে একটি * থাকে৷ এই সমস্যার জন্য আপডেটটি সাধারণত Google বিকাশকারী সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে থাকে৷

6. কেন এই বুলেটিন এবং ডিভাইস/পার্টনার সিকিউরিটি বুলেটিন, যেমন পিক্সেল/নেক্সাস বুলেটিন-এর মধ্যে নিরাপত্তা দুর্বলতা বিভক্ত?

এই নিরাপত্তা বুলেটিনে নথিভুক্ত নিরাপত্তা দুর্বলতাগুলি Android ডিভাইসে সর্বশেষ নিরাপত্তা প্যাচ স্তর ঘোষণা করার জন্য প্রয়োজন৷ অতিরিক্ত নিরাপত্তা দুর্বলতা যা ডিভাইস / অংশীদার নিরাপত্তা বুলেটিনে নথিভুক্ত করা হয়েছে নিরাপত্তা প্যাচ স্তর ঘোষণা করার জন্য প্রয়োজন হয় না। অ্যান্ড্রয়েড ডিভাইস এবং চিপসেট নির্মাতাদের তাদের নিজস্ব নিরাপত্তা ওয়েবসাইট যেমন Samsung , LGE , বা Pixel / Nexus নিরাপত্তা বুলেটিনগুলির মাধ্যমে তাদের ডিভাইসে অন্যান্য ফিক্সের উপস্থিতি নথিভুক্ত করতে উত্সাহিত করা হয়৷

7. এই বুলেটিনের স্বীকৃতিগুলি কোথায়?

এই বুলেটিনের স্বীকৃতিগুলি সরাসরি Android নিরাপত্তা স্বীকৃতি পৃষ্ঠায় রয়েছে৷

সংস্করণ

সংস্করণ তারিখ মন্তব্য
1.0 2 অক্টোবর, 2017 বুলেটিন প্রকাশিত হয়েছে।
1.1 3 অক্টোবর, 2017 AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।