প্রকাশিত মার্চ 07, 2016 | 08 মার্চ, 2016 আপডেট করা হয়েছে
আমরা আমাদের Android সিকিউরিটি বুলেটিন মাসিক রিলিজ প্রক্রিয়ার অংশ হিসেবে ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। মার্চ 01, 2016 বা তার পরের নিরাপত্তা প্যাচ লেভেল সহ LMY49H বা তার পরে এবং Android M তৈরি করে এই সমস্যাগুলির সমাধান করে৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন।
1 ফেব্রুয়ারি, 2016 বা তার আগে বুলেটিনে বর্ণিত সমস্যাগুলি সম্পর্কে অংশীদারদের অবহিত করা হয়েছিল৷ যেখানে প্রযোজ্য, এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে৷
এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।
আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণের কোনও রিপোর্ট নেই। অ্যান্ড্রয়েড সুরক্ষা প্ল্যাটফর্ম সুরক্ষা এবং সেফটিনেটের মতো পরিষেবা সুরক্ষাগুলির বিশদ বিবরণের জন্য প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের সুরক্ষা উন্নত করে৷ আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷
প্রশমন
এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷
- অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
- Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করছে যা সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল হওয়ার বিষয়ে সতর্ক করবে৷ Google Play-এর মধ্যে ডিভাইস রুট করার টুল নিষিদ্ধ। যে ব্যবহারকারীরা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের সুরক্ষার জন্য, অ্যাপগুলি যাচাইকরণ ডিফল্টরূপে সক্ষম করা হয় এবং ব্যবহারকারীদের পরিচিত রুটিং অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে৷ অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তাহলে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং এই জাতীয় কোনও অ্যাপ্লিকেশন সরানোর চেষ্টা করবে৷
- উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।
স্বীকৃতি
আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:
- গুগল ক্রোম সিকিউরিটি টিমের অভিষেক আর্য, অলিভার চ্যাং এবং মার্টিন বারবেলা: CVE-2016-0815
- সেন্সাস এসএ-এর অ্যানেস্টিস বেচটসউডিস ( @anestisb ): CVE-2016-0816, CVE-2016-0824
- অ্যান্ড্রয়েড সিকিউরিটি থেকে চাড ব্রুবেকার: CVE-2016-0818
- গুগল প্রোজেক্ট জিরোর মার্ক ব্র্যান্ড: CVE-2016-0820
- Qihoo 360 থেকে C0RE টিমের Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), এবং Xuxian জিয়াং : CVE-2016-0826
- ট্রেন্ড মাইক্রো এর পিটার পাই ( @heisecode ): CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- স্কট বাউয়ার ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
- ট্রেন্ড মাইক্রো ইনকর্পোরেটেডের উইশ উ ( @wish_wu ): CVE-2016-0819
- হুয়াওয়ের ইয়ংজেং উ এবং তিয়েন লি: CVE-2016-0831
- সিঙ্গাপুর ম্যানেজমেন্ট ইউনিভার্সিটির সু মন কিওয়ে এবং ইংজিউ লি: CVE-2016-0831
- অ্যান্ড্রয়েড সিকিউরিটি টিমের Zach Riggle ( @ebeip90 ): CVE-2016-0821
নিরাপত্তা দুর্বলতার বিবরণ
নীচের বিভাগে, আমরা 2016-03-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বর্ণনা, একটি তীব্রতার যুক্তি এবং CVE সহ একটি টেবিল, সংশ্লিষ্ট বাগ, তীব্রতা, প্রভাবিত সংস্করণ এবং রিপোর্ট করা তারিখ রয়েছে। উপলভ্য হলে, আমরা AOSP পরিবর্তনটিকে লিঙ্ক করব যা সমস্যাটি বাগ আইডির সাথে সম্বোধন করেছে। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।
মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা
মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।
প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে প্রদান করা হয়, এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।
মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0815 | ANDROID-26365349 | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
CVE-2016-0816 | অ্যান্ড্রয়েড-25928803 | সমালোচনামূলক | 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
libvpx এ রিমোট কোড এক্সিকিউশন দুর্বলতা
মিডিয়া ফাইল এবং একটি বিশেষভাবে তৈরি করা ফাইলের ডেটা প্রক্রিয়াকরণের সময়, মিডিয়াসার্ভারে দুর্বলতা একজন আক্রমণকারীকে মিডিয়াসার্ভার প্রক্রিয়া হিসাবে মেমরি দুর্নীতি এবং দূরবর্তী কোড কার্যকর করার অনুমতি দিতে পারে।
প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে সরবরাহ করা হয় এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।
সমস্যাগুলিকে গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে কারণ সেগুলি মিডিয়াসার্ভার পরিষেবার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার জন্য ব্যবহার করা যেতে পারে। মিডিয়াসার্ভার পরিষেবাটির অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেসের পাশাপাশি বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।
সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-1621 | ANDROID-23452792 [2] [3] | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0 | গুগল অভ্যন্তরীণ |
কনস্ক্রিপ্টে বিশেষাধিকারের উচ্চতা
Conscrypt-এ একটি দুর্বলতা একটি নির্দিষ্ট ধরনের অবৈধ শংসাপত্র, একটি মধ্যবর্তী সার্টিফিকেট অথরিটি (CA) দ্বারা জারি করা ভুলভাবে বিশ্বাসযোগ্য হতে পারে৷ এটি একটি ম্যান-ইন-দ্য-মিডল আক্রমণ সক্ষম করতে পারে। বিশেষাধিকারের উচ্চতা এবং দূরবর্তী স্বেচ্ছাচারী কোড সম্পাদনের সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে।
সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0818 | ANDROID-26232830 [2] | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
কোয়ালকম পারফরমেন্স কম্পোনেন্টে প্রিভিলেজ দুর্বলতার উচ্চতা
কোয়ালকম পারফরম্যান্স কম্পোনেন্টে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে, এবং ডিভাইসটি শুধুমাত্র অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে মেরামত করা যেতে পারে।
সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0819 | ANDROID-25364034* | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | অক্টোবর 29, 2015 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
মিডিয়াটেক ওয়াই-ফাই কার্নেল ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা
মিডিয়াটেক ওয়াই-ফাই কার্নেল ড্রাইভারে একটি দুর্বলতা রয়েছে যা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। কার্নেলের প্রেক্ষাপটে বিশেষাধিকারের উচ্চতা এবং স্বেচ্ছাচারী কোড সম্পাদনের সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে।
সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0820 | ANDROID-26267358* | সমালোচনামূলক | 6.0.1 | 18 ডিসেম্বর, 2015 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কার্নেল কীরিং কম্পোনেন্টে বিশেষাধিকার দুর্বলতার উচ্চতা
কার্নেল কীরিং কম্পোনেন্টে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের মধ্যে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। একটি স্থানীয় স্থায়ী ডিভাইস আপস হওয়ার সম্ভাবনার কারণে এই সমস্যাটিকে একটি গুরুতর তীব্রতা হিসাবে রেট করা হয়েছে এবং ডিভাইসটি সম্ভাব্যভাবে শুধুমাত্র অপারেটিং সিস্টেম পুনরায় ফ্ল্যাশ করে মেরামত করা যেতে পারে৷ যাইহোক, Android সংস্করণ 5.0 এবং তার উপরে, SELinux নিয়মগুলি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিকে প্রভাবিত কোডে পৌঁছাতে বাধা দেয়।
দ্রষ্টব্য: রেফারেন্সের জন্য, AOSP-এর প্যাচটি নির্দিষ্ট কার্নেল সংস্করণগুলির জন্য উপলব্ধ: 4.1 , 3.18 , 3.14 , এবং 3.10 ৷
সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0728 | ANDROID-26636379 | সমালোচনামূলক | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | জানুয়ারী 11, 2016 |
কার্নেলে প্রশমন বাইপাস দুর্বলতা
কার্নেলে একটি প্রশমন বাইপাস দুর্বলতা প্ল্যাটফর্ম শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি প্ল্যাটফর্মটি শোষণকারীদের আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে।
দ্রষ্টব্য: এই সমস্যার জন্য আপডেটটি লিনাক্স আপস্ট্রিমে অবস্থিত ।
সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0821 | ANDROID-26186802 | উচ্চ | 6.0.1 | গুগল অভ্যন্তরীণ |
মিডিয়াটেক কানেক্টিভিটি কার্নেল ড্রাইভারে বিশেষাধিকারের উচ্চতা
একটি MediaTek কানেক্টিভিটি কার্নেল ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা রয়েছে যা কার্নেলের প্রেক্ষাপটে একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। সাধারণত এই ধরনের একটি কার্নেল কোড এক্সিকিউশন বাগকে সমালোচনামূলক রেট দেওয়া হবে, কিন্তু কারণ এটির জন্য প্রথমে conn_launcher পরিষেবার সাথে আপস করতে হবে, এটি উচ্চ তীব্রতা রেটিং-এ ডাউনগ্রেডকে সমর্থন করে।
সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0822 | ANDROID-25873324* | উচ্চ | 6.0.1 | নভেম্বর 24, 2015 |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
কার্নেলে তথ্য প্রকাশের দুর্বলতা
কার্নেলে একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্মটি শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ তারা একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ায় ASLR-এর মতো শোষণ প্রশমন প্রযুক্তির স্থানীয় বাইপাসকে অনুমতি দিতে পারে।
দ্রষ্টব্য: এই সমস্যার সমাধান লিনাক্স আপস্ট্রিমে অবস্থিত ।
সিভিই | বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0823 | ANDROID-25739721* | উচ্চ | 6.0.1 | গুগল অভ্যন্তরীণ |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
লিবস্টেজফ্রাইটে তথ্য প্রকাশের দুর্বলতা
libstagefright-এ একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্ম শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এগুলি উন্নত ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷
সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0824 | ANDROID-25765591 | উচ্চ | 6.0, 6.0.1 | নভেম্বর 18, 2015 |
Widevine-এ তথ্য প্রকাশের দুর্বলতা
ওয়াইডিভাইন ট্রাস্টেড অ্যাপ্লিকেশনে একটি তথ্য প্রকাশের দুর্বলতা ট্রাস্টজোন সুরক্ষিত সঞ্চয়স্থানে তথ্য অ্যাক্সেস করার জন্য কার্নেল প্রসঙ্গে চলমান কোডকে অনুমতি দিতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধার মতো উন্নত ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে।
সিভিই | বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0825 | ANDROID-20860039* | উচ্চ | 6.0.1 | গুগল অভ্যন্তরীণ |
* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷
মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা
মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতা অর্জন করতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।
সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0826 | ANDROID-26265403 [2] | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ডিসেম্বর 17, 2015 |
CVE-2016-0827 | ANDROID-26347509 | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 ডিসেম্বর, 2015 |
মিডিয়া সার্ভারে তথ্য প্রকাশের দুর্বলতা
মিডিয়া সার্ভারে একটি তথ্য প্রকাশের দুর্বলতা প্ল্যাটফর্ম শোষণকারী আক্রমণকারীদের অসুবিধা বাড়াতে নিরাপত্তা ব্যবস্থার একটি বাইপাস অনুমতি দিতে পারে। এই সমস্যাগুলিকে উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এগুলি উন্নত ক্ষমতা অর্জনের জন্যও ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলিতে অ্যাক্সেসযোগ্য নয়৷
সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0828 | ANDROID-26338113 | উচ্চ | 5.0.2, 5.1.1, 6.0, 6.0.1 | ডিসেম্বর 27, 2015 |
CVE-2016-0829 | ANDROID-26338109 | উচ্চ | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ডিসেম্বর 27, 2015 |
ব্লুটুথে পরিষেবা দুর্বলতার দূরবর্তী অস্বীকার
ব্লুটুথ কম্পোনেন্টে পরিষেবার দুর্বলতার একটি দূরবর্তী অস্বীকৃতি একজন প্রক্সিমাল আক্রমণকারীকে প্রভাবিত ডিভাইসে অ্যাক্সেস ব্লক করার অনুমতি দিতে পারে। একজন আক্রমণকারী ব্লুটুথ কম্পোনেন্টে চিহ্নিত ব্লুটুথ ডিভাইসের ওভারফ্লো ঘটাতে পারে, যা মেমরি দুর্নীতি এবং পরিষেবা বন্ধ করে দেয়। এটি একটি উচ্চ তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ব্লুটুথ পরিষেবাতে পরিষেবার অস্বীকৃতির দিকে নিয়ে যায়, যা সম্ভবত ডিভাইসের একটি ফ্ল্যাশ দিয়ে ঠিক করা যেতে পারে৷
সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0830 | অ্যান্ড্রয়েড-26071376 | উচ্চ | 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
টেলিফোনিতে তথ্য প্রকাশের দুর্বলতা
টেলিফোনি উপাদানে একটি তথ্য প্রকাশের দুর্বলতা একটি অ্যাপ্লিকেশনকে সংবেদনশীল তথ্য অ্যাক্সেস করার অনুমতি দিতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতার রেট দেওয়া হয়েছে কারণ এটি অনুমতি ছাড়াই ভুলভাবে ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।
সিভিই | AOSP লিঙ্ক সহ বাগ | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0831 | ANDROID-25778215 | পরিমিত | 5.0.2, 5.1.1, 6.0, 6.0.1 | নভেম্বর 16, 2015 |
সেটআপ উইজার্ডে বিশেষাধিকার দুর্বলতার উচ্চতা
সেটআপ উইজার্ডে একটি দুর্বলতা ডিভাইস সেটিংসে অ্যাক্সেস পেতে এবং একটি ম্যানুয়াল ডিভাইস রিসেট সম্পাদন করতে ডিভাইসে শারীরিক অ্যাক্সেস ছিল এমন আক্রমণকারীকে সক্ষম করতে পারে। এই সমস্যাটিকে মাঝারি তীব্রতা হিসাবে রেট করা হয়েছে কারণ এটি ফ্যাক্টরি রিসেট সুরক্ষার চারপাশে ভুলভাবে কাজ করতে ব্যবহার করা যেতে পারে।
সিভিই | বাগ(গুলি) | নির্দয়তা | আপডেট করা সংস্করণ | তারিখ রিপোর্ট |
---|---|---|---|---|
CVE-2016-0832 | ANDROID-25955042* | পরিমিত | 5.1.1, 6.0, 6.0.1 | গুগল অভ্যন্তরীণ |
* এই আপডেটের জন্য কোন সোর্স কোড প্যাচ দেওয়া নেই।
সাধারণ প্রশ্ন ও উত্তর
এই বিভাগটি এই বুলেটিন পড়ার পর হতে পারে এমন সাধারণ প্রশ্নের উত্তর পর্যালোচনা করে।
1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?
মার্চ 1, 2016 এর নিরাপত্তা প্যাচ লেভেল সহ LMY49H বা তার পরবর্তী এবং Android 6.0 তৈরি করে বা এই সমস্যাগুলির সমাধান করে। নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হবে তার নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন। এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত: [ro.build.version.security_patch]:[2016-03-01]
রিভিশন
- মার্চ 07, 2016: বুলেটিন প্রকাশিত।
- মার্চ 08, 2016: AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।