প্রকাশিত ফেব্রুয়ারি 01, 2016 | 7 মার্চ, 2016 আপডেট করা হয়েছে
আমরা আমাদের Android সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। 1 ফেব্রুয়ারি, 2016 বা তার পরের নিরাপত্তা প্যাচ লেভেল সহ LMY49G বা তার পরে এবং Android M তৈরি করে এই সমস্যাগুলির সমাধান করে৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন।
4 জানুয়ারী, 2016 বা তার আগে বুলেটিনে বর্ণিত সমস্যাগুলি সম্পর্কে অংশীদারদের অবহিত করা হয়েছিল৷ যেখানে প্রযোজ্য, এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে৷
এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। ব্রডকমের ওয়াই-ফাই ড্রাইভারের রিমোট কোড এক্সিকিউশন দুর্বলতাও গুরুতর তীব্রতা কারণ এটি আক্রমণকারীর মতো একই নেটওয়ার্কে সংযুক্ত থাকাকালীন একটি প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।
আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষাগুলির বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের সুরক্ষা উন্নত করে৷ আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷
প্রশমন
এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
- Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল হওয়ার বিষয়ে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
- উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।
স্বীকৃতি
আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:
- অ্যান্ড্রয়েড এবং ক্রোম নিরাপত্তা দল: CVE-2016-0809, CVE-2016-0810
- ব্রডগেট টিম: CVE-2016-0801, CVE-2015-0802
- Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ), এবং C0RE টিমের Xuxian জিয়াং, Qihoo 360 : CVE-2016-0804
- Google Pixel C দলের ডেভিড রিলি: CVE-2016-0812
- ল্যাব আইসসোর্ডের গেনজিয়া চেন ( @চেঙ্গজিয়া4574 ), কিহু 360: CVE-2016-0805
- কিদান হে ( @Flanker_hqd ) KeenLab ( @keen_lab ), Tencent: CVE-2016-0811
- ট্রেন্ড মাইক্রো ( www.trendmicro.com ) এর সেভেন শেন ( @lingtongshen ): CVE-2016-0803
- আলিবাবা ইনকর্পোরেটেডের উইচাও সান ( @সানব্লেট ): CVE-2016-0808
- অ্যান্ড্রয়েড সিকিউরিটি টিমের Zach Riggle ( @ebeip90 ): CVE-2016-0807
নিরাপত্তা দুর্বলতার বিবরণ
নীচের বিভাগগুলিতে, আমরা 2016-02-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, প্রভাবিত সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। উপলভ্য হলে, আমরা AOSP কমিটকে লিঙ্ক করব যা সমস্যাটি বাগ আইডির সাথে সম্বোধন করেছে। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।
ব্রডকম ওয়াই-ফাই ড্রাইভারে রিমোট কোড এক্সিকিউশন দুর্বলতা
ব্রডকম ওয়াই-ফাই ড্রাইভারের একাধিক দূরবর্তী কার্যকরী দুর্বলতা একটি দূরবর্তী আক্রমণকারীকে কার্নেল মেমরিকে এমনভাবে দূষিত করতে বিশেষভাবে তৈরি ওয়্যারলেস কন্ট্রোল বার্তা প্যাকেটগুলি ব্যবহার করার অনুমতি দিতে পারে যা কার্নেলের প্রেক্ষাপটে দূরবর্তী কোড সম্পাদনের দিকে নিয়ে যায়। আক্রমণকারী এবং শিকার একই নেটওয়ার্কের সাথে যুক্ত হলে এই দুর্বলতাগুলি ট্রিগার হতে পারে। ব্যবহারকারীর ইন্টারঅ্যাকশনের প্রয়োজন ছাড়াই কার্নেলের প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে।
| সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0801 | অ্যান্ড্রয়েড-25662029 অ্যান্ড্রয়েড-25662233 | সমালোচনামূলক | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 অক্টোবর, 2015 |
| CVE-2016-0802 | ANDROID-25306181 | সমালোচনামূলক | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | অক্টোবর 26, 2015 |
মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা
মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।
প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।
মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0803 | অ্যান্ড্রয়েড-25812794 | সমালোচনামূলক | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | নভেম্বর 19, 2015 |
| CVE-2016-0804 | ANDROID-25070434 | সমালোচনামূলক | 5.0, 5.1.1, 6.0, 6.0.1 | 12 অক্টোবর, 2015 |
কোয়ালকম পারফরম্যান্স মডিউলে বিশেষাধিকার দুর্বলতার উচ্চতা
কোয়ালকম থেকে এআরএম প্রসেসরের জন্য পারফরম্যান্স ইভেন্ট ম্যানেজার উপাদানে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের মধ্যে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। একটি স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে৷
| সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0805 | ANDROID-25773204* | সমালোচনামূলক | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 নভেম্বর, 2015 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কোয়ালকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
Qualcomm Wi-Fi ড্রাইভারের মধ্যে একটি দুর্বলতা রয়েছে যা কার্নেলের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। একটি স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে৷
| সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0806 | ANDROID-25344453* | সমালোচনামূলক | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 নভেম্বর, 2015 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
ডিবাগারে বিশেষাধিকার দুর্বলতার উচ্চতা
ডিবাগারড কম্পোনেন্টে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে ডিভাইস রুট প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। একটি স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে এবং অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে ডিভাইসটিকে সম্ভবত মেরামত করতে হবে৷
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0807 | ANDROID-25187394 | সমালোচনামূলক | 6.0 এবং 6.0.1 | গুগল অভ্যন্তরীণ |
মিনিকিনে পরিষেবার দুর্বলতা অস্বীকার করা
মিনিকিন লাইব্রেরিতে পরিষেবার দুর্বলতা অস্বীকার করা হলে একজন স্থানীয় আক্রমণকারীকে সাময়িকভাবে প্রভাবিত ডিভাইসে অ্যাক্সেস ব্লক করতে পারে। একজন আক্রমণকারী একটি অবিশ্বস্ত ফন্ট লোড হতে পারে এবং মিনিকিন উপাদানে একটি ওভারফ্লো হতে পারে যা ক্র্যাশের দিকে নিয়ে যায়। এটি একটি উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ পরিষেবা অস্বীকার একটি ক্রমাগত রিবুট লুপের দিকে নিয়ে যায়।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0808 | অ্যান্ড্রয়েড-25645298 | উচ্চ | 5.0, 5.1.1, 6.0, 6.0.1 | নভেম্বর 3, 2015 |
Wi-Fi-এ বিশেষাধিকার দুর্বলতার উচ্চতা
Wi-Fi কম্পোনেন্টে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সিস্টেম প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় সান্নিধ্যে থাকাকালীন একটি ডিভাইস শুধুমাত্র এই সমস্যার জন্য ঝুঁকিপূর্ণ। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি দূর থেকে " স্বাভাবিক " ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে। সাধারণত, এই অনুমতিগুলি শুধুমাত্র স্থানীয়ভাবে ইনস্টল করা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0809 | ANDROID-25753768 | উচ্চ | 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা
মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0810 | ANDROID-25781119 | উচ্চ | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
libmediaplayersservice-এ তথ্য প্রকাশের দুর্বলতা
libmediaplayersservice-এ একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্ম শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এগুলি উন্নত ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0811 | ANDROID-25800375 | উচ্চ | 6.0, 6.0.1 | নভেম্বর 16, 2015 |
সেটআপ উইজার্ডে বিশেষাধিকার দুর্বলতার উচ্চতা
সেটআপ উইজার্ডে একটি দুর্বলতা একটি দূষিত আক্রমণকারীকে ফ্যাক্টরি রিসেট সুরক্ষা বাইপাস করতে এবং ডিভাইসে অ্যাক্সেস পেতে অনুমতি দিতে পারে। এটি একটি মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি সম্ভাব্যভাবে ফ্যাক্টরি রিসেট সুরক্ষা বাইপাস করার জন্য একটি ডিভাইসে শারীরিক অ্যাক্সেস সহ কাউকে অনুমতি দেয়, যা একটি আক্রমণকারীকে সফলভাবে একটি ডিভাইস রিসেট করতে সক্ষম করে, সমস্ত ডেটা মুছে দেয়৷
| সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
|---|---|---|---|---|
| CVE-2016-0812 | ANDROID-25229538 | পরিমিত | 5.1.1, 6.0 | গুগল অভ্যন্তরীণ |
| CVE-2016-0813 | ANDROID-25476219 | পরিমিত | 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
সাধারণ প্রশ্ন ও উত্তর
এই বিভাগটি এই বুলেটিন পড়ার পর হতে পারে এমন সাধারণ প্রশ্নের উত্তর পর্যালোচনা করে।
1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?
1 ফেব্রুয়ারি, 2016 এর নিরাপত্তা প্যাচ লেভেল সহ LMY49G বা তার পরে এবং Android 6.0 তৈরি করে বা তার পরে এই সমস্যাগুলি সমাধান করে। নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন। এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত: [ro.build.version.security_patch]:[2016-02-01]
রিভিশন
- ফেব্রুয়ারি 01, 2016: বুলেটিন প্রকাশিত।
- ফেব্রুয়ারী 02, 2016: AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
- মার্চ 07, 2016: অতিরিক্ত AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।