নেক্সাস নিরাপত্তা বুলেটিন - ডিসেম্বর 2015

ডিসেম্বর 07, 2015 প্রকাশিত | 7 মার্চ, 2016 আপডেট করা হয়েছে

আমরা আমাদের Android সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। 1 ডিসেম্বর, 2015 বা তার পরে নিরাপত্তা প্যাচ লেভেল সহ LMY48Z বা তার পরবর্তী এবং Android 6.0 তৈরি করে এই সমস্যাগুলির সমাধান করে৷ আরো বিস্তারিত জানার জন্য সাধারণ প্রশ্ন এবং উত্তর বিভাগে পড়ুন।

2শে নভেম্বর, 2015 বা তার আগে অংশীদারদের এই সমস্যাগুলি সম্পর্কে অবহিত করা হয়েছিল এবং আপডেটগুলি প্রদান করা হয়েছিল৷ যেখানে প্রযোজ্য, এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষাগুলির বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের সুরক্ষা উন্নত করে৷ আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷

প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল হওয়ার বিষয়ে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
  • উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।

স্বীকৃতি

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

  • গুগল ক্রোম সিকিউরিটি টিমের অভিষেক আর্য, অলিভার চ্যাং এবং মার্টিন বারবেলা: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6630 , CVE-2015-6634
  • ফ্ল্যাঙ্কার ( @flanker_hqd ) KeenTeam ( @K33nTeam ): CVE-2015-6620
  • Qihoo 360 Technology Co.Ltd এর গুয়াং গং (龚广) ( @oldfresher , higongguang@gmail.com) : CVE-2015-6626
  • EmberMitre Ltd-এর মার্ক কার্টার ( @hanpingchinese ): CVE-2015-6630
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2015-6621
  • গুগল প্রজেক্ট জিরোর নাটালি সিলভানোভিচ: CVE-2015-6616
  • ট্রেন্ড মাইক্রোর পিটার পাই: CVE-2015-6616, CVE-2015-6628
  • কিদান হে ( @flanker_hqd ) এবং কিনটিম ( @K33nTeam ) এর মার্কো গ্রাসি ( @marcograss ): CVE-2015-6622
  • Tzu-Yin (Nina) তাই: CVE-2015-6627
  • Fundación ডঃ ম্যানুয়েল সাডোস্কি, বুয়েনস আইরেস, আর্জেন্টিনা-এ প্রোগ্রাম STIC-এর জোয়াকুইন রিনাউডো ( @xeroxnir ): CVE-2015-6631
  • বাইদু এক্স-টিমের ওয়াংটাও (নিওবাইট): CVE-2015-6626

নিরাপত্তা দুর্বলতার বিবরণ

নীচের বিভাগগুলিতে, আমরা 2015-12-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, আপডেট করা সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। উপলভ্য হলে, আমরা AOSP পরিবর্তনটিকে লিঙ্ক করব যা সমস্যাটি বাগ আইডির সাথে সম্বোধন করেছে। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।

মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা

মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।

মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6616 ANDROID-24630158 সমালোচনামূলক 6.0 এবং নীচে গুগল অভ্যন্তরীণ
ANDROID-23882800 সমালোচনামূলক 6.0 এবং নীচে গুগল অভ্যন্তরীণ
অ্যান্ড্রয়েড-17769851 সমালোচনামূলক 5.1 এবং নীচে গুগল অভ্যন্তরীণ
ANDROID-24441553 সমালোচনামূলক 6.0 এবং নীচে সেপ্টেম্বর 22, 2015
ANDROID-24157524 সমালোচনামূলক 6.0 সেপ্টেম্বর 08, 2015

স্কিয়াতে রিমোট কোড এক্সিকিউশন দুর্বলতা

একটি বিশেষভাবে তৈরি করা মিডিয়া ফাইল প্রক্রিয়াকরণের সময় স্কিয়া উপাদানের একটি দুর্বলতা লাভ করা যেতে পারে, যা একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ায় মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করতে পারে। মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক আক্রমণ পদ্ধতির মাধ্যমে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6617 ANDROID-23648740 সমালোচনামূলক 6.0 এবং নীচে গুগল অভ্যন্তরীণ

কার্নেলে বিশেষাধিকারের উচ্চতা

সিস্টেম কার্নেলে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে ডিভাইস রুট প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে এবং ডিভাইসটি শুধুমাত্র অপারেটিং সিস্টেমকে পুনরায় ফ্ল্যাশ করে মেরামত করা যেতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6619 ANDROID-23520714 সমালোচনামূলক 6.0 এবং নীচে জুন 7, 2015

ডিসপ্লে ড্রাইভারে রিমোট কোড এক্সিকিউশন দুর্বলতা

ডিসপ্লে ড্রাইভারগুলিতে দুর্বলতা রয়েছে যা মিডিয়া ফাইল প্রক্রিয়া করার সময়, মিডিয়া সার্ভার দ্বারা লোড করা ব্যবহারকারী মোড ড্রাইভারের প্রসঙ্গে মেমরি দুর্নীতি এবং সম্ভাব্য স্বেচ্ছাচারী কোড কার্যকর করতে পারে। মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক আক্রমণ পদ্ধতির মাধ্যমে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6633 ANDROID-23987307* সমালোচনামূলক 6.0 এবং নীচে গুগল অভ্যন্তরীণ
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ 4 ] সমালোচনামূলক 5.1 এবং নীচে গুগল অভ্যন্তরীণ

*এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

ব্লুটুথে রিমোট কোড এক্সিকিউশন দুর্বলতা

অ্যান্ড্রয়েডের ব্লুটুথ উপাদানের একটি দুর্বলতা দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে। যদিও এটি ঘটতে পারে তার আগে একাধিক ম্যানুয়াল পদক্ষেপ প্রয়োজন। ব্যক্তিগত এলাকা নেটওয়ার্ক (PAN) প্রোফাইল সক্ষম করার পরে (উদাহরণস্বরূপ ব্লুটুথ টিথারিং ব্যবহার করে) এবং ডিভাইসটি জোড়া হওয়ার পরে এটি করার জন্য এটির জন্য একটি সফলভাবে যুক্ত ডিভাইসের প্রয়োজন হবে। রিমোট কোড এক্সিকিউশন ব্লুটুথ পরিষেবার বিশেষাধিকারে হবে। স্থানীয় সান্নিধ্যে থাকাকালীন একটি সফলভাবে যুক্ত ডিভাইস থেকে একটি ডিভাইস শুধুমাত্র এই সমস্যার জন্য ঝুঁকিপূর্ণ।

এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ একজন আক্রমণকারী শুধুমাত্র একাধিক ম্যানুয়াল পদক্ষেপ নেওয়ার পরে এবং স্থানীয়ভাবে প্রক্সিমেট আক্রমণকারীর কাছ থেকে নির্বিচারে কোড চালাতে পারে যা আগে একটি ডিভাইস যুক্ত করার অনুমতি দেওয়া হয়েছিল।

সিভিই বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6618 ANDROID-24595992* উচ্চ 4.4, 5.0 এবং 5.1 সেপ্টেম্বর 28, 2015

*এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

লিবস্টেজফ্রাইটে বিশেষাধিকার দুর্বলতাগুলির উচ্চতা

libstagefright-এ একাধিক দুর্বলতা রয়েছে যা মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6620 ANDROID-24123723 উচ্চ 6.0 এবং নীচে সেপ্টেম্বর 10, 2015
ANDROID-24445127 উচ্চ 6.0 এবং নীচে 2শে সেপ্টেম্বর, 2015

সিস্টেমইউআই-তে বিশেষাধিকার দুর্বলতার উচ্চতা

ঘড়ি অ্যাপ্লিকেশন ব্যবহার করে একটি অ্যালার্ম সেট করার সময়, SystemUI উপাদানের একটি দুর্বলতা একটি অ্যাপ্লিকেশনকে একটি উন্নত বিশেষাধিকার স্তরে একটি কাজ চালানোর অনুমতি দিতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6621 অ্যান্ড্রয়েড-২৩৯০৯৪৩৮ উচ্চ 5.0, 5.1 এবং 6.0 7 সেপ্টেম্বর, 2015

নেটিভ ফ্রেমওয়ার্ক লাইব্রেরিতে তথ্য প্রকাশের দুর্বলতা

অ্যান্ড্রয়েড নেটিভ ফ্রেমওয়ার্কস লাইব্রেরিতে একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এগুলি উন্নত ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6622 ANDROID-23905002 উচ্চ 6.0 এবং নীচে 7 সেপ্টেম্বর, 2015

Wi-Fi-এ বিশেষাধিকার দুর্বলতার উচ্চতা

Wi-Fi-এ বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি উন্নত সিস্টেম পরিষেবার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6623 ANDROID-24872703 উচ্চ 6.0 গুগল অভ্যন্তরীণ

সিস্টেম সার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা

সিস্টেম সার্ভার উপাদানে বিশেষাধিকার দুর্বলতার একটি উচ্চতা পরিষেবা সম্পর্কিত তথ্য অ্যাক্সেস পেতে একটি স্থানীয় দূষিত অ্যাপ্লিকেশন সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6624 অ্যান্ড্রয়েড-২৩৯৯৯৭৪০ উচ্চ 6.0 গুগল অভ্যন্তরীণ

লিবস্টেজফ্রাইটে তথ্য প্রকাশের দুর্বলতা

libstagefright-এ তথ্য প্রকাশের দুর্বলতা রয়েছে যা মিডিয়া সার্ভারের সাথে যোগাযোগের সময়, প্ল্যাটফর্ম শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এগুলি উন্নত ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6632 ANDROID-24346430 উচ্চ 6.0 এবং নীচে গুগল অভ্যন্তরীণ
CVE-2015-6626 ANDROID-24310423 উচ্চ 6.0 এবং নীচে 2শে সেপ্টেম্বর, 2015
CVE-2015-6631 ANDROID-24623447 উচ্চ 6.0 এবং নীচে 21শে আগস্ট, 2015

অডিওতে তথ্য প্রকাশের দুর্বলতা

অডিও ফাইল প্রক্রিয়াকরণের সময় অডিও উপাদানের একটি দুর্বলতা শোষণ করা যেতে পারে। এই দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশন, একটি বিশেষভাবে তৈরি করা ফাইলের প্রক্রিয়াকরণের সময়, তথ্য প্রকাশের কারণ হতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6627 ANDROID-24211743 উচ্চ 6.0 এবং নীচে গুগল অভ্যন্তরীণ

মিডিয়া ফ্রেমওয়ার্কে তথ্য প্রকাশের দুর্বলতা

মিডিয়া ফ্রেমওয়ার্কে একটি তথ্য প্রকাশের দুর্বলতা রয়েছে যা মিডিয়া সার্ভারের সাথে যোগাযোগের সময়, প্ল্যাটফর্ম শোষণকারীদের আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6628 ANDROID-24074485 উচ্চ 6.0 এবং নীচে সেপ্টেম্বর 8, 2015

Wi-Fi-এ তথ্য প্রকাশের দুর্বলতা

Wi-Fi কম্পোনেন্টের একটি দুর্বলতা আক্রমণকারীকে Wi-Fi পরিষেবাকে তথ্য প্রকাশ করার অনুমতি দিতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6629 ANDROID-22667667 উচ্চ 5.1 এবং 5.0 গুগল অভ্যন্তরীণ

সিস্টেম সার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা

সিস্টেম সার্ভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে Wi-Fi পরিষেবা সম্পর্কিত তথ্য অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ভুলভাবে " বিপজ্জনক " অনুমতি পেতে ব্যবহার করা যেতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6625 অ্যান্ড্রয়েড-২৩৯৩৬৮৪০ পরিমিত 6.0 গুগল অভ্যন্তরীণ

SystemUI-তে তথ্য প্রকাশের দুর্বলতা

SystemUI-তে একটি তথ্য প্রকাশের দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে স্ক্রিনশটগুলিতে অ্যাক্সেস পেতে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ভুলভাবে " বিপজ্জনক " অনুমতি পেতে ব্যবহার করা যেতে পারে।

সিভিই AOSP লিঙ্ক সহ বাগ(গুলি) নির্দয়তা আপডেট করা সংস্করণ তারিখ রিপোর্ট
CVE-2015-6630 ANDROID-19121797 পরিমিত 5.0, 5.1 এবং 6.0 জানুয়ারী 22, 2015

সাধারণ প্রশ্ন ও উত্তর

এই বিভাগটি এই বুলেটিন পড়ার পর হতে পারে এমন সাধারণ প্রশ্নের উত্তর পর্যালোচনা করবে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

1 ডিসেম্বর, 2015 বা তার পরে নিরাপত্তা প্যাচ লেভেল সহ LMY48Z বা তার পরবর্তী এবং Android 6.0 তৈরি করে এই সমস্যাগুলির সমাধান করে৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন। যে ডিভাইস নির্মাতারা এই আপডেটগুলি অন্তর্ভুক্ত করে তাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত: [ro.build.version.security_patch]:[2015-12-01]

রিভিশন

  • ডিসেম্বর 07, 2015: মূলত প্রকাশিত
  • ডিসেম্বর 09, 2015: AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
  • ডিসেম্বর 22, 2015: অনুপস্থিত ক্রেডিট স্বীকৃতি বিভাগে যোগ করা হয়েছে।
  • মার্চ 07, 2016: অনুপস্থিত ক্রেডিট স্বীকৃতি বিভাগে যোগ করা হয়েছে।