9 সেপ্টেম্বর, 2015 প্রকাশিত
আমরা আমাদের অ্যান্ড্রয়েড সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়া (বিল্ড LMY48M) এর অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। এই সমস্যাগুলির জন্য নেক্সাস ডিভাইস এবং সোর্স কোড প্যাচগুলির আপডেটগুলিও অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সোর্স রিপোজিটরিতে প্রকাশ করা হয়েছে৷ এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে।
নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। LMY48M বা পরবর্তীতে এই সমস্যাগুলির সমাধান করে। 13 আগস্ট, 2015 বা তার আগে অংশীদারদের এই সমস্যাগুলি সম্পর্কে অবহিত করা হয়েছিল৷
আমরা নতুন রিপোর্ট করা সমস্যাগুলির গ্রাহক শোষণ সনাক্ত করিনি। ব্যতিক্রম হল বিদ্যমান সমস্যা (CVE-2015-3636)। অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষাগুলির বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android এ সুরক্ষা দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা হ্রাস করে৷
অনুগ্রহ করে মনে রাখবেন যে উভয় গুরুত্বপূর্ণ নিরাপত্তা আপডেট (CVE-2015-3864 এবং CVE-2015-3686) ঠিকানা ইতিমধ্যেই দুর্বলতা প্রকাশ করেছে৷ এই আপডেটে নতুনভাবে প্রকাশিত কোনো জটিল নিরাপত্তা দুর্বলতা নেই। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।
আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷
প্রশমন
এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
- Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল হওয়ার বিষয়ে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
- উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।
স্বীকৃতি
আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:
- এক্সোডাস ইন্টেলিজেন্সের জর্ডান গ্রুসকোভনজাক (@jgrusko): CVE-2015-3864
- Michał Bednarski: CVE-2015-3845
- Qihoo 360 Technology Co. Ltd (@oldfresher): CVE-2015-1528, CVE-2015-3849 এর গুয়াং গং
- Brennan Lautner: CVE-2015-3863
- jgor (@indiecom): CVE-2015-3860
- ট্রেন্ড মাইক্রো ইনকর্পোরেটেডের উইশ উ (@wish_wu): CVE-2015-3861
নিরাপত্তা দুর্বলতার বিবরণ
নীচের বিভাগে, আমরা এই বুলেটিনে প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ বিবরণ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, প্রভাবিত সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। যেখানে উপলব্ধ, আমরা AOSP পরিবর্তনটিকে লিঙ্ক করেছি যা সমস্যাটিকে বাগ আইডিতে সম্বোধন করেছে৷ যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।
মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা
মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।
প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।
মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
এই সমস্যাটি ইতিমধ্যে রিপোর্ট করা CVE-2015-3824 (ANDROID-20923261) এর সাথে সম্পর্কিত। মূল নিরাপত্তা আপডেট এই মূল রিপোর্ট করা সমস্যাটির একটি বৈকল্পিক সমাধান করার জন্য যথেষ্ট ছিল না।
সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | প্রভাবিত সংস্করণ |
---|---|---|---|
CVE-2015-3864 | ANDROID-23034759 | সমালোচনামূলক | 5.1 এবং নীচে |
কার্নেলে এলিভেশন প্রিভিলেজ দুর্বলতা
লিনাক্স কার্নেলের পিং সকেট পরিচালনার ক্ষেত্রে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর অনুমতি দিতে পারে।
একটি বিশেষ সুবিধাপ্রাপ্ত পরিষেবাতে কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে যা ডিভাইস সুরক্ষাগুলিকে বাইপাস করতে পারে, সম্ভাব্যভাবে কিছু ডিভাইসে স্থায়ী আপস (অর্থাৎ, সিস্টেম পার্টিশন পুনরায় ফ্ল্যাশ করার প্রয়োজন) হতে পারে৷
এই সমস্যাটি প্রথম সর্বজনীনভাবে 01 মে, 2015-এ চিহ্নিত করা হয়েছিল৷ এই দুর্বলতার একটি শোষণকে অনেকগুলি "রুটিং" সরঞ্জামগুলিতে অন্তর্ভুক্ত করা হয়েছে যা ডিভাইসের মালিক তাদের ডিভাইসে ফার্মওয়্যার সংশোধন করতে ব্যবহার করতে পারে৷
সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ |
---|---|---|---|
CVE-2015-3636 | ANDROID-20770158 | সমালোচনামূলক | 5.1 এবং নীচে |
বাইন্ডারে বিশেষাধিকার দুর্বলতার উচ্চতা
বাইন্ডারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি দূষিত অ্যাপ্লিকেশনটিকে অন্য অ্যাপের প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর অনুমতি দিতে পারে।
এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি একটি দূষিত অ্যাপ্লিকেশনকে এমন সুযোগ-সুবিধা অর্জন করতে দেয় যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়৷
সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ |
---|---|---|---|
CVE-2015-3845 | অ্যান্ড্রয়েড-17312693 | উচ্চ | 5.1 এবং নীচে |
CVE-2015-1528 | ANDROID-19334482 [ 2 ] | উচ্চ | 5.1 এবং নীচে |
কীস্টোরে বিশেষাধিকার দুর্বলতার উচ্চতা
কীস্টোরে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি দূষিত অ্যাপ্লিকেশনকে কীস্টোর পরিষেবার প্রসঙ্গে নির্বিচারে কোড চালানোর অনুমতি দিতে পারে। এটি হার্ডওয়্যার-ব্যাকড কী সহ কীস্টোর দ্বারা সংরক্ষিত কীগুলির অননুমোদিত ব্যবহারের অনুমতি দিতে পারে।
এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয় এমন সুযোগ সুবিধা পেতে ব্যবহার করা যেতে পারে।
সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ |
---|---|---|---|
CVE-2015-3863 | ANDROID-22802399 | উচ্চ | 5.1 এবং নীচে |
অঞ্চলে বিশেষাধিকার দুর্বলতার উচ্চতা
অঞ্চলে বিশেষাধিকার দুর্বলতার একটি উচ্চতা, একটি পরিষেবাতে একটি দূষিত বার্তা তৈরির মাধ্যমে, একটি দূষিত অ্যাপ্লিকেশনকে লক্ষ্য পরিষেবার প্রেক্ষাপটে নির্বিচারে কোড চালানোর অনুমতি দিতে পারে।
এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয় এমন সুযোগ সুবিধা পেতে ব্যবহার করা যেতে পারে।
সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ |
---|---|---|---|
CVE-2015-3849 | ANDROID-20883006 [ 2 ] | উচ্চ | 5.1 এবং নীচে |
এসএমএসে প্রিভিলেজ দুর্বলতার উচ্চতা বিজ্ঞপ্তি বাইপাস সক্ষম করে
অ্যান্ড্রয়েড যেভাবে এসএমএস মেসেজ প্রসেস করে তাতে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি দূষিত অ্যাপ্লিকেশনকে একটি এসএমএস বার্তা পাঠাতে সক্ষম করতে পারে যা প্রিমিয়াম-রেট এসএমএস সতর্কতা বিজ্ঞপ্তিকে বাইপাস করে।
এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয় এমন সুযোগ সুবিধা পেতে ব্যবহার করা যেতে পারে।
সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ |
---|---|---|---|
CVE-2015-3858 | ANDROID-22314646 | উচ্চ | 5.1 এবং নীচে |
লকস্ক্রিনে বিশেষাধিকার দুর্বলতার উচ্চতা
লকস্ক্রিনে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি দূষিত ব্যবহারকারীকে লকস্ক্রিনটি ক্র্যাশ করে বাইপাস করার অনুমতি দিতে পারে। এই সমস্যাটিকে শুধুমাত্র Android 5.0 এবং 5.1-এ একটি দুর্বলতা হিসাবে শ্রেণীবদ্ধ করা হয়েছে৷ যদিও 4.4-এ একইভাবে লকস্ক্রিন থেকে সিস্টেম UI ক্র্যাশ করা সম্ভব, হোম স্ক্রীনটি অ্যাক্সেস করা যাবে না এবং পুনরুদ্ধার করতে ডিভাইসটিকে রিবুট করতে হবে।
এই সমস্যাটিকে একটি মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি সম্ভাব্যভাবে কোনও ডিভাইসে শারীরিক অ্যাক্সেস সহ কাউকে ডিভাইসের মালিকের অনুমতি ছাড়াই তৃতীয় পক্ষের অ্যাপগুলি ইনস্টল করার অনুমতি দেয়৷ এটি আক্রমণকারীকে যোগাযোগের ডেটা, ফোন লগ, এসএমএস বার্তা এবং অন্যান্য ডেটা দেখার অনুমতি দিতে পারে যা সাধারণত একটি "বিপজ্জনক" স্তরের অনুমতি দিয়ে সুরক্ষিত থাকে।
সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ |
---|---|---|---|
CVE-2015-3860 | ANDROID-22214934 | পরিমিত | 5.1 এবং 5.0 |
মিডিয়াসার্ভারে পরিষেবার দুর্বলতা অস্বীকার করা
মিডিয়াসার্ভারে পরিষেবার দুর্বলতা অস্বীকার করা স্থানীয় আক্রমণকারীকে সাময়িকভাবে প্রভাবিত ডিভাইসে অ্যাক্সেস ব্লক করার অনুমতি দিতে পারে।
এই সমস্যাটিকে নিম্ন তীব্রতা হিসাবে রেট করা হয়েছে কারণ এই সমস্যাটি শোষণকারী একটি দূষিত অ্যাপ্লিকেশন সরাতে ব্যবহারকারী নিরাপদ মোডে রিবুট করতে পারে৷ মিডিয়াসার্ভারকে দূরবর্তীভাবে ওয়েবের মাধ্যমে বা MMS-এর মাধ্যমে দূষিত ফাইলটি প্রক্রিয়া করার কারণ করাও সম্ভব, সেক্ষেত্রে মিডিয়াসার্ভার প্রক্রিয়াটি ক্র্যাশ হয়ে যায় এবং ডিভাইসটি ব্যবহারযোগ্য থাকে।
সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ |
---|---|---|---|
CVE-2015-3861 | ANDROID-21296336 | কম | 5.1 এবং নীচে |