ডিসেম্বর 07, 2015 প্রকাশিত | 7 মার্চ, 2016 আপডেট করা হয়েছে
আমরা আমাদের Android সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। 1 ডিসেম্বর, 2015 বা তার পরে নিরাপত্তা প্যাচ লেভেল সহ LMY48Z বা তার পরবর্তী এবং Android 6.0 তৈরি করে এই সমস্যাগুলির সমাধান করে৷ আরো বিস্তারিত জানার জন্য সাধারণ প্রশ্ন এবং উত্তর বিভাগে পড়ুন।
2শে নভেম্বর, 2015 বা তার আগে অংশীদারদের এই সমস্যাগুলি সম্পর্কে অবহিত করা হয়েছিল এবং আপডেটগুলি প্রদান করা হয়েছিল৷ যেখানে প্রযোজ্য, এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে৷
এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।
আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষাগুলির বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের সুরক্ষা উন্নত করে৷ আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷
প্রশমন
এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
- Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল হওয়ার বিষয়ে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
- উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।
স্বীকৃতি
আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:
- গুগল ক্রোম সিকিউরিটি টিমের অভিষেক আর্য, অলিভার চ্যাং এবং মার্টিন বারবেলা: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6630 , CVE-2015-6634
- ফ্ল্যাঙ্কার ( @flanker_hqd ) KeenTeam ( @K33nTeam ): CVE-2015-6620
- Qihoo 360 Technology Co.Ltd এর গুয়াং গং (龚广) ( @oldfresher , higongguang@gmail.com) : CVE-2015-6626
- EmberMitre Ltd-এর মার্ক কার্টার ( @hanpingchinese ): CVE-2015-6630
- Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
- গুগল প্রজেক্ট জিরোর নাটালি সিলভানোভিচ: CVE-2015-6616
- ট্রেন্ড মাইক্রোর পিটার পাই: CVE-2015-6616, CVE-2015-6628
- কিদান হে ( @flanker_hqd ) এবং কিনটিম ( @K33nTeam ) এর মার্কো গ্রাসি ( @marcograss ): CVE-2015-6622
- Tzu-Yin (Nina) তাই: CVE-2015-6627
- Fundación ডঃ ম্যানুয়েল সাডোস্কি, বুয়েনস আইরেস, আর্জেন্টিনা-এ প্রোগ্রাম STIC-এর জোয়াকুইন রিনাউডো ( @xeroxnir ): CVE-2015-6631
- বাইদু এক্স-টিমের ওয়াংটাও (নিওবাইট): CVE-2015-6626
নিরাপত্তা দুর্বলতার বিবরণ
নীচের বিভাগগুলিতে, আমরা 2015-12-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, আপডেট করা সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। উপলভ্য হলে, আমরা AOSP পরিবর্তনটিকে লিঙ্ক করব যা সমস্যাটি বাগ আইডির সাথে সম্বোধন করেছে। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।
মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা
মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।
প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।
মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6616 | ANDROID-24630158 | সমালোচনামূলক | 6.0 এবং নীচে | গুগল অভ্যন্তরীণ |
| ANDROID-23882800 | সমালোচনামূলক | 6.0 এবং নীচে | গুগল অভ্যন্তরীণ | |
| অ্যান্ড্রয়েড-17769851 | সমালোচনামূলক | 5.1 এবং নীচে | গুগল অভ্যন্তরীণ | |
| ANDROID-24441553 | সমালোচনামূলক | 6.0 এবং নীচে | সেপ্টেম্বর 22, 2015 | |
| ANDROID-24157524 | সমালোচনামূলক | 6.0 | সেপ্টেম্বর 08, 2015 |
স্কিয়াতে রিমোট কোড এক্সিকিউশন দুর্বলতা
একটি বিশেষভাবে তৈরি করা মিডিয়া ফাইল প্রক্রিয়াকরণের সময় স্কিয়া উপাদানের একটি দুর্বলতা লাভ করা যেতে পারে, যা একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ায় মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করতে পারে। মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক আক্রমণ পদ্ধতির মাধ্যমে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | সমালোচনামূলক | 6.0 এবং নীচে | গুগল অভ্যন্তরীণ |
কার্নেলে বিশেষাধিকারের উচ্চতা
সিস্টেম কার্নেলে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে ডিভাইস রুট প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে এবং ডিভাইসটি শুধুমাত্র অপারেটিং সিস্টেমকে পুনরায় ফ্ল্যাশ করে মেরামত করা যেতে পারে।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6619 | ANDROID-23520714 | সমালোচনামূলক | 6.0 এবং নীচে | জুন 7, 2015 |
ডিসপ্লে ড্রাইভারে রিমোট কোড এক্সিকিউশন দুর্বলতা
ডিসপ্লে ড্রাইভারগুলিতে দুর্বলতা রয়েছে যা মিডিয়া ফাইল প্রক্রিয়া করার সময়, মিডিয়া সার্ভার দ্বারা লোড করা ব্যবহারকারী মোড ড্রাইভারের প্রসঙ্গে মেমরি দুর্নীতি এবং সম্ভাব্য স্বেচ্ছাচারী কোড কার্যকর করতে পারে। মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক আক্রমণ পদ্ধতির মাধ্যমে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6633 | ANDROID-23987307* | সমালোচনামূলক | 6.0 এবং নীচে | গুগল অভ্যন্তরীণ |
| CVE-2015-6634 | ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] | সমালোচনামূলক | 5.1 এবং নীচে | গুগল অভ্যন্তরীণ |
*এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
ব্লুটুথে রিমোট কোড এক্সিকিউশন দুর্বলতা
অ্যান্ড্রয়েডের ব্লুটুথ উপাদানের একটি দুর্বলতা দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে। যদিও এটি ঘটতে পারে তার আগে একাধিক ম্যানুয়াল পদক্ষেপ প্রয়োজন। ব্যক্তিগত এলাকা নেটওয়ার্ক (PAN) প্রোফাইল সক্ষম করার পরে (উদাহরণস্বরূপ ব্লুটুথ টিথারিং ব্যবহার করে) এবং ডিভাইসটি জোড়া হওয়ার পরে এটি করার জন্য এটির জন্য একটি সফলভাবে যুক্ত ডিভাইসের প্রয়োজন হবে। রিমোট কোড এক্সিকিউশন ব্লুটুথ পরিষেবার বিশেষাধিকারে হবে। স্থানীয় সান্নিধ্যে থাকাকালীন একটি সফলভাবে যুক্ত ডিভাইস থেকে একটি ডিভাইস শুধুমাত্র এই সমস্যার জন্য ঝুঁকিপূর্ণ।
এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ একজন আক্রমণকারী শুধুমাত্র একাধিক ম্যানুয়াল পদক্ষেপ নেওয়ার পরে এবং স্থানীয়ভাবে প্রক্সিমেট আক্রমণকারীর কাছ থেকে নির্বিচারে কোড চালাতে পারে যা আগে একটি ডিভাইস যুক্ত করার অনুমতি দেওয়া হয়েছিল।
| সিভিই | বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6618 | ANDROID-24595992* | উচ্চ | 4.4, 5.0 এবং 5.1 | সেপ্টেম্বর 28, 2015 |
*এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
লিবস্টেজফ্রাইটে বিশেষাধিকার দুর্বলতাগুলির উচ্চতা
libstagefright-এ একাধিক দুর্বলতা রয়েছে যা মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6620 | ANDROID-24123723 | উচ্চ | 6.0 এবং নীচে | সেপ্টেম্বর 10, 2015 |
| ANDROID-24445127 | উচ্চ | 6.0 এবং নীচে | 2শে সেপ্টেম্বর, 2015 |
সিস্টেমইউআই-তে বিশেষাধিকার দুর্বলতার উচ্চতা
ঘড়ি অ্যাপ্লিকেশন ব্যবহার করে একটি অ্যালার্ম সেট করার সময়, SystemUI উপাদানের একটি দুর্বলতা একটি অ্যাপ্লিকেশনকে একটি উন্নত বিশেষাধিকার স্তরে একটি কাজ চালানোর অনুমতি দিতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6621 | অ্যান্ড্রয়েড-২৩৯০৯৪৩৮ | উচ্চ | 5.0, 5.1 এবং 6.0 | 7 সেপ্টেম্বর, 2015 |
নেটিভ ফ্রেমওয়ার্ক লাইব্রেরিতে তথ্য প্রকাশের দুর্বলতা
অ্যান্ড্রয়েড নেটিভ ফ্রেমওয়ার্কস লাইব্রেরিতে একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এগুলি উন্নত ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6622 | ANDROID-23905002 | উচ্চ | 6.0 এবং নীচে | 7 সেপ্টেম্বর, 2015 |
Wi-Fi-এ বিশেষাধিকার দুর্বলতার উচ্চতা
Wi-Fi-এ বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি উন্নত সিস্টেম পরিষেবার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6623 | ANDROID-24872703 | উচ্চ | 6.0 | গুগল অভ্যন্তরীণ |
সিস্টেম সার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা
সিস্টেম সার্ভার উপাদানে বিশেষাধিকার দুর্বলতার একটি উচ্চতা পরিষেবা সম্পর্কিত তথ্য অ্যাক্সেস পেতে একটি স্থানীয় দূষিত অ্যাপ্লিকেশন সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6624 | অ্যান্ড্রয়েড-২৩৯৯৯৭৪০ | উচ্চ | 6.0 | গুগল অভ্যন্তরীণ |
লিবস্টেজফ্রাইটে তথ্য প্রকাশের দুর্বলতা
libstagefright-এ তথ্য প্রকাশের দুর্বলতা রয়েছে যা মিডিয়া সার্ভারের সাথে যোগাযোগের সময়, প্ল্যাটফর্ম শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এগুলি উন্নত ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6632 | ANDROID-24346430 | উচ্চ | 6.0 এবং নীচে | গুগল অভ্যন্তরীণ |
| CVE-2015-6626 | ANDROID-24310423 | উচ্চ | 6.0 এবং নীচে | 2শে সেপ্টেম্বর, 2015 |
| CVE-2015-6631 | ANDROID-24623447 | উচ্চ | 6.0 এবং নীচে | 21শে আগস্ট, 2015 |
অডিওতে তথ্য প্রকাশের দুর্বলতা
অডিও ফাইল প্রক্রিয়াকরণের সময় অডিও উপাদানের একটি দুর্বলতা শোষণ করা যেতে পারে। এই দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশন, একটি বিশেষভাবে তৈরি করা ফাইলের প্রক্রিয়াকরণের সময়, তথ্য প্রকাশের কারণ হতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6627 | ANDROID-24211743 | উচ্চ | 6.0 এবং নীচে | গুগল অভ্যন্তরীণ |
মিডিয়া ফ্রেমওয়ার্কে তথ্য প্রকাশের দুর্বলতা
মিডিয়া ফ্রেমওয়ার্কে একটি তথ্য প্রকাশের দুর্বলতা রয়েছে যা মিডিয়া সার্ভারের সাথে যোগাযোগের সময়, প্ল্যাটফর্ম শোষণকারীদের আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6628 | ANDROID-24074485 | উচ্চ | 6.0 এবং নীচে | সেপ্টেম্বর 8, 2015 |
Wi-Fi-এ তথ্য প্রকাশের দুর্বলতা
Wi-Fi কম্পোনেন্টের একটি দুর্বলতা আক্রমণকারীকে Wi-Fi পরিষেবাকে তথ্য প্রকাশ করার অনুমতি দিতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6629 | ANDROID-22667667 | উচ্চ | 5.1 এবং 5.0 | গুগল অভ্যন্তরীণ |
সিস্টেম সার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা
সিস্টেম সার্ভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে Wi-Fi পরিষেবা সম্পর্কিত তথ্য অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ভুলভাবে " বিপজ্জনক " অনুমতি পেতে ব্যবহার করা যেতে পারে।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6625 | অ্যান্ড্রয়েড-২৩৯৩৬৮৪০ | পরিমিত | 6.0 | গুগল অভ্যন্তরীণ |
SystemUI-তে তথ্য প্রকাশের দুর্বলতা
SystemUI-তে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে স্ক্রিনশটগুলিতে অ্যাক্সেস পেতে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ভুলভাবে " বিপজ্জনক " অনুমতি পেতে ব্যবহার করা যেতে পারে।
| সিভিই | AOSP লিঙ্ক সহ বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2015-6630 | ANDROID-19121797 | পরিমিত | 5.0, 5.1 এবং 6.0 | জানুয়ারী 22, 2015 |
সাধারণ প্রশ্ন ও উত্তর
এই বিভাগটি এই বুলেটিন পড়ার পর হতে পারে এমন সাধারণ প্রশ্নের উত্তর পর্যালোচনা করবে।
1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?
1 ডিসেম্বর, 2015 বা তার পরে নিরাপত্তা প্যাচ লেভেল সহ LMY48Z বা তার পরবর্তী এবং Android 6.0 তৈরি করে এই সমস্যাগুলির সমাধান করে৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন। যে ডিভাইস নির্মাতারা এই আপডেটগুলি অন্তর্ভুক্ত করে তাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত: [ro.build.version.security_patch]:[2015-12-01]
রিভিশন
- ডিসেম্বর 07, 2015: মূলত প্রকাশিত
- ডিসেম্বর 09, 2015: AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
- ডিসেম্বর 22, 2015: অনুপস্থিত ক্রেডিট স্বীকৃতি বিভাগে যোগ করা হয়েছে।
- মার্চ 07, 2016: অনুপস্থিত ক্রেডিট স্বীকৃতি বিভাগে যোগ করা হয়েছে।