নেক্সাস নিরাপত্তা বুলেটিন - নভেম্বর 2015

নভেম্বর 02, 2015 প্রকাশিত

আমরা আমাদের Android সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। 1 নভেম্বর, 2015 বা তার পরের নিরাপত্তা প্যাচ লেভেল সহ LMY48X বা তার পরে এবং Android Marshmallow তৈরি করে এই সমস্যাগুলির সমাধান করে৷ আরো বিস্তারিত জানার জন্য সাধারণ প্রশ্ন এবং উত্তর বিভাগে পড়ুন।

5 অক্টোবর, 2015 বা তার আগে অংশীদারদের এই সমস্যাগুলি সম্পর্কে অবহিত করা হয়েছিল৷ এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি পরবর্তী 48 ঘন্টার মধ্যে Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হবে। AOSP লিঙ্কগুলি উপলব্ধ হলে আমরা এই বুলেটিনটি সংশোধন করব।

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষাগুলির বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের সুরক্ষা উন্নত করে৷ আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷

প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল হওয়ার বিষয়ে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
  • উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।

স্বীকৃতি

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

  • অভিষেক আর্য, অলিভার চ্যাং এবং মার্টিন বারবেলা, গুগল ক্রোম সিকিউরিটি টিম: CVE-2015-6608
  • কপারহেড নিরাপত্তায় ড্যানিয়েল মাইকে (daniel.micay@copperhead.co): CVE-2015-6609
  • সিস্টেম সিকিউরিটি ল্যাবের ডংকওয়ান কিম, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
  • সিস্টেম সিকিউরিটি ল্যাবের হঙ্গিল কিম, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
  • ট্রেন্ড মাইক্রোর জ্যাক ট্যাং (@jacktang310): CVE-2015-6611
  • ট্রেন্ড মাইক্রোর পিটার পাই: CVE-2015-6611
  • গুগল প্রজেক্ট জিরোর নাটালি সিলভানোভিচ: CVE-2015-6608
  • কিদান হে (@flanker_hqd) এবং ওয়েন জু (@antlr7) কিনটিম (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
  • গুয়াং গং (龚广) ( @oldfresher , higongguang@gmail.com) Qihoo 360 প্রযুক্তি CC o.Ltd : CVE-2015-6612
  • ট্রেন্ড মাইক্রোর সেভেন শেন: CVE-2015-6610

নিরাপত্তা দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2015-11-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, প্রভাবিত সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। যেখানে উপলব্ধ, আমরা AOSP পরিবর্তনটিকে লিঙ্ক করেছি যা সমস্যাটিকে বাগ আইডিতে সম্বোধন করেছে৷ যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।

মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা

মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।

মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-6608 ANDROID-19779574 সমালোচনামূলক 5.0, 5.1, 6.0 গুগল অভ্যন্তরীণ
ANDROID-23680780
অ্যান্ড্রয়েড-২৩৮৭৬৪৪৪
ANDROID-23881715 সমালোচনামূলক 4.4, 5.0, 5.1, 6.0 গুগল অভ্যন্তরীণ
অ্যান্ড্রয়েড-14388161 সমালোচনামূলক 4.4 এবং 5.1 গুগল অভ্যন্তরীণ
ANDROID-23658148 সমালোচনামূলক 5.0, 5.1, 6.0 গুগল অভ্যন্তরীণ

libutils মধ্যে দূরবর্তী কোড এক্সিকিউশন দুর্বলতা

অডিও ফাইল প্রক্রিয়াকরণের সময় লিবুটিল, একটি জেনেরিক লাইব্রেরির একটি দুর্বলতাকে কাজে লাগানো যেতে পারে। এই দুর্বলতা একটি আক্রমণকারীকে, একটি বিশেষভাবে তৈরি করা ফাইলের প্রক্রিয়াকরণের সময়, মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা একটি API হিসাবে সরবরাহ করা হয়েছে এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক। একটি বিশেষ সুবিধাপ্রাপ্ত পরিষেবাতে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর গুরুতর সমস্যা হিসাবে রেট করা হয়েছে৷ প্রভাবিত উপাদানটির অডিও এবং ভিডিও স্ট্রীমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-6609 ANDROID-22953624 [ 2 ] সমালোচনামূলক 6.0 এবং নীচে 3 আগস্ট, 2015

মিডিয়া সার্ভারে তথ্য প্রকাশের দুর্বলতা

মিডিয়া সার্ভারে তথ্য প্রকাশের দুর্বলতা রয়েছে যা প্ল্যাটফর্মটি শোষণকারীদের আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-6611 ANDROID-23905951 [ 2 ] [ 3 ] উচ্চ 6.0 এবং নীচে সেপ্টেম্বর 07, 2015
ANDROID-23912202*
ANDROID-23953967*
ANDROID-23696300 উচ্চ 6.0 এবং নীচে 31 আগস্ট, 2015
ANDROID-23600291 উচ্চ 6.0 এবং নীচে আগস্ট 26, 2015
ANDROID-23756261 [ 2 ] উচ্চ 6.0 এবং নীচে আগস্ট 26, 2015
ANDROID-23540907 [ 2 ] উচ্চ 5.1 এবং নীচে 25 আগস্ট, 2015
ANDROID-23541506 উচ্চ 6.0 এবং নীচে 25 আগস্ট, 2015
ANDROID-23284974*
ANDROID-23542351*
ANDROID-23542352*
ANDROID-23515142 উচ্চ 5.1 এবং নীচে আগস্ট 19, 2015

* এই বাগটির প্যাচ অন্যান্য প্রদত্ত AOSP লিঙ্কগুলিতে অন্তর্ভুক্ত করা হয়েছে।

লিবস্টেজফ্রাইটে বিশেষাধিকার দুর্বলতার উচ্চতা

libstagefright-এ বিশেষাধিকারের দুর্বলতার একটি উচ্চতা রয়েছে যা মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে মেমরি দুর্নীতি এবং স্বেচ্ছাচারী কোড কার্যকর করতে একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। যদিও এই সমস্যাটিকে সাধারণত সমালোচনামূলক রেট দেওয়া হবে, আমরা এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে মূল্যায়ন করেছি কারণ এটি দূরবর্তীভাবে শোষিত হওয়ার সম্ভাবনা কম।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-6610 ANDROID-23707088 [ 2 ] উচ্চ 6.0 এবং নীচে আগস্ট 19, 2015

লিবমিডিয়ায় বিশেষাধিকার দুর্বলতার উচ্চতা

libmedia-এ একটি দুর্বলতা রয়েছে যা মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি বিশেষাধিকারগুলি অ্যাক্সেস করতে ব্যবহার করা যেতে পারে যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে সরাসরি অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-6612 ANDROID-23540426 উচ্চ 6.0 এবং নীচে 23 আগস্ট, 2015

ব্লুটুথ-এ প্রিভিলেজ দুর্বলতার উচ্চতা

ব্লুটুথের একটি দুর্বলতা রয়েছে যা একটি স্থানীয় অ্যাপ্লিকেশনকে ডিভাইসে শোনার ডিবাগ পোর্টে কমান্ড পাঠাতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-6613 ANDROID-24371736 উচ্চ 6.0 গুগল অভ্যন্তরীণ

টেলিফোনিতে বিশেষাধিকার দুর্বলতার উচ্চতা

টেলিফোনি উপাদানের একটি দুর্বলতা যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সীমাবদ্ধ নেটওয়ার্ক ইন্টারফেসে অননুমোদিত ডেটা প্রেরণ করতে সক্ষম করতে পারে, সম্ভাব্য ডেটা চার্জকে প্রভাবিত করে৷ এটি ডিভাইসটিকে কল গ্রহণ করা থেকে আটকাতে পারে এবং সেইসাথে আক্রমণকারীকে কলের নিঃশব্দ সেটিংস নিয়ন্ত্রণ করতে দেয়। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটিকে ভুলভাবে " বিপজ্জনক " অনুমতি পেতে ব্যবহার করা যেতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা প্রভাবিত সংস্করণ তারিখ রিপোর্ট
CVE-2015-6614 ANDROID-21900139 [ 2 ] [ 3 ] পরিমিত 5.0, 5.1 জুন 8, 2015

সাধারণ প্রশ্ন ও উত্তর

এই বিভাগটি এই বুলেটিন পড়ার পর হতে পারে এমন সাধারণ প্রশ্নের উত্তর পর্যালোচনা করবে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

1 নভেম্বর, 2015 বা তার পরের নিরাপত্তা প্যাচ লেভেল সহ LMY48X বা তার পরে এবং Android Marshmallow তৈরি করে এই সমস্যাগুলির সমাধান করে৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন। এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত: [ro.build.version.security_patch]:[2015-11-01]

রিভিশন

  • নভেম্বর 02, 2015: মূলত প্রকাশিত