প্রকাশিত অক্টোবর 05, 2015 | 28 এপ্রিল, 2016 আপডেট করা হয়েছে
আমরা আমাদের Android সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। 1 অক্টোবর, 2015 এর নিরাপত্তা প্যাচ লেভেলের সাথে LMY48T বা তার পরে (যেমন LMY48W) এবং Android M তৈরি করে বা তার পরে এই সমস্যাগুলির সমাধান করে৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন।
10 সেপ্টেম্বর, 2015 বা তার আগে অংশীদারদের এই সমস্যাগুলি সম্পর্কে অবহিত করা হয়েছিল৷ এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে।
এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।
আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষাগুলির বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের সুরক্ষা উন্নত করে৷ আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷
প্রশমন
এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
- Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল হওয়ার বিষয়ে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
- উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলিকে আপডেট করেছে যাতে মিডিয়া স্বয়ংক্রিয়ভাবে দুর্বল প্রক্রিয়াগুলিতে (যেমন মিডিয়া সার্ভার) পাস না হয়।
স্বীকৃতি
আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:
- Brennan Lautner: CVE-2015-3863
- Qihoo 360 থেকে C0RE টিমের Chiachih Wu এবং Xuxian Jiang: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Qihoo 360 থেকে C0RE টিমের ইয়াজিন ঝু, লেই উ এবং জুক্সিয়ান জিয়াং: CVE-2015-3865
- কপারহেড সিকিউরিটিতে ড্যানিয়েল মাইকে (daniel.micay@copperhead.co): CVE-2015-3875
- আলিবাবা মোবাইল সিকিউরিটি টিমের dragonltx: CVE-2015-6599
- গুগল প্রজেক্ট জিরোর ইয়ান বিয়ার এবং স্টিভেন ভিটিটো: CVE-2015-6604
- জোয়াকুইন রিনাউডো (@xeroxnir) এবং Ivan Arce (@4Dgifts) প্রোগ্রামা STIC-এর Fundación ডঃ ম্যানুয়েল সাডোস্কি, বুয়েনস আইরেস আর্জেন্টিনা: CVE-2015-3870
- জিম্পেরিয়ামের জোশ ড্রেক: CVE-2015-3876, CVE-2015-6602
- এক্সোডাস ইন্টেলিজেন্সের জর্ডান গ্রুসকোভনজাক (@jgrusko): CVE-2015-3867
- ট্রেন্ড মাইক্রোর পিটার পাই: CVE-2015-3872, CVE-2015-3871
- Qihoo 360 Technology Co. Ltd-এর পিং লি: CVE-2015-3878
- সেভেন শেন: CVE-2015-6600, CVE-2015-3847
- বাইদু এক্স-টিমের ওয়াংটাও (নিওবাইট): CVE-2015-6598
- ট্রেন্ড মাইক্রো ইনকর্পোরেটেডের উইশ উ (@wish_wu): CVE-2015-3823
- ইউনিভার্সিটি অফ অ্যাপ্লাইড সায়েন্সেস, আপার অস্ট্রিয়া/ হ্যাগেনবার্গে জেআর-সেন্টার ইউ'স স্মাইলের মাইকেল রোল্যান্ড: CVE-2015-6606
আমরা এই বুলেটিনে স্থির করা বেশ কয়েকটি সমস্যা রিপোর্ট করার জন্য Chrome সিকিউরিটি টিম, Google সিকিউরিটি টিম, প্রোজেক্ট জিরো এবং Google-এর মধ্যে অন্যান্য ব্যক্তিদের অবদানকেও স্বীকার করতে চাই।
নিরাপত্তা দুর্বলতার বিবরণ
নীচের বিভাগে, আমরা 2015-10-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, প্রভাবিত সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। যেখানে উপলব্ধ, আমরা AOSP পরিবর্তনটিকে লিঙ্ক করেছি যা সমস্যাটিকে বাগ আইডিতে সম্বোধন করেছে৷ যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।
রিমোট কোড এক্সিকিউশন দুর্বলতা লিবস্টেজফ্রাইটে
libstagefright-এ দুর্বলতা বিদ্যমান যা একটি আক্রমণকারীকে, মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভার পরিষেবাতে মেমরি দুর্নীতি এবং দূরবর্তী কোড সম্পাদনের কারণ হতে পারে।
একটি বিশেষ সুবিধাপ্রাপ্ত পরিষেবা হিসাবে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাগুলিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। প্রভাবিত উপাদানগুলির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি সাধারণত অ্যাক্সেস করতে পারে না।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [ 2 , 3 , 4 ] | সমালোচনামূলক | 5.1 এবং নীচে | গুগল অভ্যন্তরীণ |
| ANDROID-20674674 [ 2 , 3 , 4 ] | ||||
| ANDROID-20718524 | ||||
| অ্যান্ড্রয়েড-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| অ্যান্ড্রয়েড-২৩২৪৮৭৭৬ | ||||
| ANDROID-20721050 | সমালোচনামূলক | 5.0 এবং 5.1 | গুগল অভ্যন্তরীণ | |
| CVE-2015-3823 | ANDROID-21335999 | সমালোচনামূলক | 5.1 এবং নীচে | 20 মে, 2015 |
| CVE-2015-6600 | ANDROID-22882938 | সমালোচনামূলক | 5.1 এবং নীচে | জুলাই 31, 2015 |
| CVE-2015-6601 | ANDROID-22935234 | সমালোচনামূলক | 5.1 এবং নীচে | 3 আগস্ট, 2015 |
| CVE-2015-3869 | ANDROID-23036083 | সমালোচনামূলক | 5.1 এবং নীচে | 4 আগস্ট, 2015 |
| CVE-2015-3870 | ANDROID-22771132 | সমালোচনামূলক | 5.1 এবং নীচে | 5 আগস্ট, 2015 |
| CVE-2015-3871 | ANDROID-23031033 | সমালোচনামূলক | 5.1 এবং নীচে | 6 আগস্ট, 2015 |
| CVE-2015-3868 | ANDROID-23270724 | সমালোচনামূলক | 5.1 এবং নীচে | 6 আগস্ট, 2015 |
| CVE-2015-6604 | ANDROID-23129786 | সমালোচনামূলক | 5.1 এবং নীচে | 11 আগস্ট, 2015 |
| CVE-2015-3867 | ANDROID-23213430 | সমালোচনামূলক | 5.1 এবং নীচে | 14 আগস্ট, 2015 |
| CVE-2015-6603 | ANDROID-23227354 | সমালোচনামূলক | 5.1 এবং নীচে | আগস্ট 15,2015 |
| CVE-2015-3876 | ANDROID-23285192 | সমালোচনামূলক | 5.1 এবং নীচে | আগস্ট 15, 2015 |
| CVE-2015-6598 | অ্যান্ড্রয়েড-২৩৩০৬৬৩৮ | সমালোচনামূলক | 5.1 এবং নীচে | 18 আগস্ট, 2015 |
| CVE-2015-3872 | অ্যান্ড্রয়েড-২৩৩৪৬৩৮৮ | সমালোচনামূলক | 5.1 এবং নীচে | আগস্ট 19, 2015 |
| CVE-2015-6599 | ANDROID-23416608 | সমালোচনামূলক | 5.1 এবং নীচে | 21শে আগস্ট, 2015 |
Sonivox-এ রিমোট কোড এক্সিকিউশন দুর্বলতা
Sonivox-এ দুর্বলতা বিদ্যমান যা একটি বিশেষভাবে তৈরি করা ফাইলের মিডিয়া ফাইল প্রক্রিয়াকরণের সময় আক্রমণকারীকে, মিডিয়াসার্ভার পরিষেবাতে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে। একটি বিশেষ সুবিধাপ্রাপ্ত পরিষেবা হিসাবে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে৷ প্রভাবিত উপাদানটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি সাধারণত অ্যাক্সেস করতে পারে না।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | সমালোচনামূলক | 5.1 এবং নীচে | একাধিক |
| ANDROID-23307276 [ 2 ] | ||||
| ANDROID-23286323 |
libutils মধ্যে দূরবর্তী কোড এক্সিকিউশন দুর্বলতা
libutils-এ দুর্বলতা, একটি জেনেরিক লাইব্রেরি, অডিও ফাইল প্রক্রিয়াকরণে বিদ্যমান। এই দুর্বলতাগুলি একটি আক্রমণকারীকে, একটি বিশেষভাবে তৈরি করা ফাইলের প্রক্রিয়াকরণের সময়, এই লাইব্রেরি যেমন মিডিয়া সার্ভার ব্যবহার করে এমন একটি পরিষেবাতে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।
প্রভাবিত কার্যকারিতা একটি অ্যাপ্লিকেশন API হিসাবে সরবরাহ করা হয়েছে এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক। একটি বিশেষ সুবিধাপ্রাপ্ত পরিষেবাতে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে৷ প্রভাবিত উপাদানটির অডিও এবং ভিডিও স্ট্রীমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | সমালোচনামূলক | 5.1 এবং নীচে | আগস্ট 15, 2015 |
| CVE-2015-6602 | ANDROID-23290056 [ 2 ] | সমালোচনামূলক | 5.1 এবং নীচে | আগস্ট 15, 2015 |
স্কিয়াতে রিমোট কোড এক্সিকিউশন দুর্বলতা
একটি বিশেষভাবে তৈরি করা মিডিয়া ফাইল প্রক্রিয়াকরণের সময় স্কিয়া উপাদানের একটি দুর্বলতা লাভ করা যেতে পারে, যা একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ায় মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করতে পারে। মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক আক্রমণ পদ্ধতির মাধ্যমে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | সমালোচনামূলক | 5.1 এবং নীচে | 30 জুলাই, 2015 |
libFLAC-তে রিমোট কোড এক্সিকিউশন দুর্বলতা
মিডিয়া ফাইল প্রক্রিয়াকরণে libFLAC-এর একটি দুর্বলতা বিদ্যমান। এই দুর্বলতাগুলি একটি আক্রমণকারীকে, একটি বিশেষভাবে তৈরি করা ফাইলের প্রক্রিয়াকরণের সময়, মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।
প্রভাবিত কার্যকারিতা একটি অ্যাপ্লিকেশন API হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, যেমন মিডিয়ার ব্রাউজার প্লেব্যাক। একটি বিশেষ সুবিধাপ্রাপ্ত পরিষেবাতে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে৷ প্রভাবিত উপাদানটির অডিও এবং ভিডিও স্ট্রীমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2014-9028 | অ্যান্ড্রয়েড-18872897 [ 2 ] | সমালোচনামূলক | 5.1 এবং নীচে | 14 নভেম্বর, 2014 |
কীস্টোরে বিশেষাধিকার দুর্বলতার উচ্চতা
কীস্টোর এপিআই-এ কল করার সময় একটি দূষিত অ্যাপ্লিকেশন দ্বারা কীস্টোর উপাদানে বিশেষাধিকার দুর্বলতার একটি উচ্চতা লাভ করা যেতে পারে। এই অ্যাপ্লিকেশনটি কীস্টোরের প্রসঙ্গে মেমরি দুর্নীতি এবং নির্বিচারে কোড সম্পাদনের কারণ হতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি বিশেষাধিকারগুলি অ্যাক্সেস করতে ব্যবহার করা যেতে পারে যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে সরাসরি অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | উচ্চ | 5.1 এবং নীচে | জুলাই 28, 2015 |
মিডিয়া প্লেয়ার ফ্রেমওয়ার্কে বিশেষাধিকার দুর্বলতার উচ্চতা
মিডিয়া প্লেয়ার ফ্রেমওয়ার্ক কম্পোনেন্টে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি দূষিত অ্যাপ্লিকেশনকে মিডিয়া সার্ভারের প্রসঙ্গে নির্বিচারে কোড চালানোর অনুমতি দিতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি একটি দূষিত অ্যাপ্লিকেশনকে বিশেষাধিকারগুলি অ্যাক্সেস করতে দেয় যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | উচ্চ | 5.1 এবং নীচে | 14 আগস্ট, 2015 |
* এই সমস্যার জন্য দ্বিতীয় পরিবর্তন AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
অ্যান্ড্রয়েড রানটাইমে প্রিভিলেজ দুর্বলতার উচ্চতা
অ্যান্ড্রয়েড রানটাইমে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে স্বেচ্ছাচারী কোড কার্যকর করতে একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [ 2 ] | উচ্চ | 5.1 এবং নীচে | 8 আগস্ট, 2015 |
মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা
মিডিয়া সার্ভারে একাধিক দুর্বলতা রয়েছে যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত নেটিভ পরিষেবার প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি বিশেষাধিকারগুলি অ্যাক্সেস করতে ব্যবহার করা যেতে পারে যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে সরাসরি অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | উচ্চ | 5.1 এবং নীচে | একাধিক |
| ANDROID-20719651* | ||||
| অ্যান্ড্রয়েড-19573085 | উচ্চ | 5.0 - 6.0 | গুগল অভ্যন্তরীণ |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
সিকিউর এলিমেন্ট ইভালুয়েশন কিটে প্রিভিলেজ ভালনারেবিলিটির উচ্চতা
SEEK (সিকিউর এলিমেন্ট ইভালুয়েশন কিট, ওরফে স্মার্টকার্ড এপিআই) প্লাগইনের একটি দুর্বলতা একটি অ্যাপ্লিকেশনকে অনুরোধ না করেই উচ্চতর অনুমতি পাওয়ার অনুমতি দিতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | উচ্চ | 5.1 এবং নীচে | জুন 30, 2015 |
* এই সমস্যাটির সমাধানকারী আপগ্রেডটি Android এর জন্য SEEK সাইটে অবস্থিত৷
মিডিয়া প্রজেকশনে বিশেষাধিকার দুর্বলতার উচ্চতা
মিডিয়া প্রজেকশন উপাদানের একটি দুর্বলতা ব্যবহারকারীর ডেটা স্ক্রিন স্ন্যাপশট আকারে প্রকাশ করার অনুমতি দিতে পারে। সমস্যাটি অপারেটিং সিস্টেমের অত্যধিক দীর্ঘ অ্যাপ্লিকেশন নামগুলির অনুমতি দেওয়ার ফলাফল। একটি স্থানীয় দূষিত অ্যাপ্লিকেশন দ্বারা এই দীর্ঘ নামগুলির ব্যবহার ব্যবহারকারীর দ্বারা দৃশ্যমান হওয়া থেকে স্ক্রীন রেকর্ডিং সম্পর্কে একটি সতর্কতা প্রতিরোধ করতে পারে৷ এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ভুলভাবে উচ্চতর অনুমতি পেতে ব্যবহার করা যেতে পারে।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | পরিমিত | 5.0 - 6.0 | 18 আগস্ট, 2015 |
ব্লুটুথ-এ প্রিভিলেজ দুর্বলতার উচ্চতা
অ্যান্ড্রয়েডের ব্লুটুথ উপাদানের একটি দুর্বলতা একটি অ্যাপ্লিকেশনকে সঞ্চিত এসএমএস বার্তা মুছে ফেলার অনুমতি দিতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ভুলভাবে উচ্চতর অনুমতি পেতে ব্যবহার করা যেতে পারে।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | পরিমিত | 5.1 এবং নীচে | 8 জুলাই, 2015 |
SQLite-এ বিশেষাধিকার দুর্বলতার উচ্চতা
SQLite পার্সিং ইঞ্জিনে একাধিক দুর্বলতা আবিষ্কৃত হয়েছে। এই দুর্বলতাগুলি একটি স্থানীয় অ্যাপ্লিকেশন দ্বারা শোষণযোগ্য হতে পারে যা অন্য অ্যাপ্লিকেশন বা পরিষেবাকে নির্বিচারে SQL প্রশ্নগুলি সম্পাদন করতে পারে৷ সফল শোষণ লক্ষ্য অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড সম্পাদন হতে পারে।
8 এপ্রিল, 2015-এ SQLite সংস্করণটিকে 3.8.9-এ আপগ্রেড করে AOSP প্রধান-এ একটি ফিক্স আপলোড করা হয়েছিল: https://android-review.googlesource.com/#/c/145961/
এই বুলেটিনে Android 4.4 (SQLite 3.7.11) এবং Android 5.0 এবং 5.1 (SQLite 3.8.6) এর SQLite সংস্করণগুলির জন্য প্যাচ রয়েছে৷
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | পরিমিত | 5.1 এবং নীচে | এপ্রিল 7, 2015 সর্বজনীনভাবে পরিচিত |
মিডিয়াসার্ভারে পরিষেবার দুর্বলতা অস্বীকার করা
মিডিয়াসার্ভারে একাধিক দুর্বলতা রয়েছে যা মিডিয়াসার্ভার প্রক্রিয়া ক্র্যাশ করে পরিষেবা অস্বীকার করতে পারে। এই সমস্যাগুলিকে নিম্ন তীব্রতা হিসাবে রেট করা হয়েছে কারণ মিডিয়া সার্ভারের ক্র্যাশের ফলে স্থানীয় অস্থায়ী পরিষেবা অস্বীকার করার ফলে প্রভাবটি অনুভব করা হয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | প্রভাবিত সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | কম | 5.1 এবং নীচে | গুগল অভ্যন্তরীণ |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | কম | 5.0 - 6.0 | গুগল অভ্যন্তরীণ | |
| CVE-2015-3862 | ANDROID-22954006 | কম | 5.1 এবং নীচে | 2 আগস্ট, 2015 |
রিভিশন
- অক্টোবর 05, 2015: বুলেটিন প্রকাশিত।
- অক্টোবর 07, 2015: AOSP রেফারেন্স সহ বুলেটিন আপডেট করা হয়েছে। CVE-2014-9028-এর জন্য বাগ রেফারেন্স স্পষ্ট করা হয়েছে।
- অক্টোবর 12, 2015: CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862-এর জন্য আপডেট করা স্বীকৃতি।
- জানুয়ারী 22, 2016: CVE-2015-6606-এর জন্য আপডেট করা স্বীকৃতি।
- এপ্রিল 28, 2016: CVE-2015-6603 যোগ করা হয়েছে এবং CVE-2014-9028-এর সাথে টাইপো সংশোধন করা হয়েছে।