Android নিরাপত্তা বুলেটিন—জুন 2016

প্রকাশিত জুন 06, 2016 | জুন 08, 2016 আপডেট করা হয়েছে

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ বুলেটিনের পাশাপাশি, আমরা ওভার-দ্য-এয়ার (OTA) আপডেটের মাধ্যমে Nexus ডিভাইসে একটি নিরাপত্তা আপডেট প্রকাশ করেছি। নেক্সাস ফার্মওয়্যারের ছবিগুলিও গুগল ডেভেলপার সাইটে প্রকাশ করা হয়েছে। জুন 01, 2016 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি এই সমস্যাগুলির সমাধান করে৷ নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা শিখতে Nexus ডকুমেন্টেশন পড়ুন।

02 মে, 2016 বা তার আগে বুলেটিনে বর্ণিত সমস্যাগুলি সম্পর্কে অংশীদারদের অবহিত করা হয়েছিল৷ যেখানে প্রযোজ্য, এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি Android ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে৷

সবচেয়ে গুরুতর সমস্যা হল একটি গুরুতর নিরাপত্তা দুর্বলতা যা মিডিয়া ফাইলগুলি প্রক্রিয়া করার সময় ইমেল, ওয়েব ব্রাউজিং এবং এমএমএসের মতো একাধিক পদ্ধতির মাধ্যমে প্রভাবিত ডিভাইসে দূরবর্তী কোড কার্যকর করতে পারে। প্ল্যাটফর্ম এবং পরিষেবার প্রশমনগুলি উন্নয়নের উদ্দেশ্যে অক্ষম করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে, দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণ বা অপব্যবহারের কোনও রিপোর্ট নেই। Android নিরাপত্তা প্ল্যাটফর্ম সুরক্ষা এবং SafetyNet এর মতো পরিষেবা সুরক্ষার বিষয়ে বিশদ বিবরণের জন্য Android এবং Google পরিষেবা মিটিগেশন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে৷

আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷

অ্যান্ড্রয়েড এবং গুগল সার্ভিস মিটিগেশন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং SafetyNet এর মতো পরিষেবা সুরক্ষা দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android সিকিউরিটি টিম সক্রিয়ভাবে Verify Apps এবং SafetyNet এর সাথে অপব্যবহারের জন্য নিরীক্ষণ করে, যা ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করার জন্য ডিজাইন করা হয়েছে৷ Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে ডিফল্টরূপে অ্যাপগুলিকে যাচাইকরণ সক্ষম করা থাকে এবং বিশেষ করে যারা Google Play এর বাইরে থেকে অ্যাপ্লিকেশনগুলি ইনস্টল করেন তাদের জন্য এটি গুরুত্বপূর্ণ৷ ডিভাইস রুট করার টুলগুলি Google Play-এর মধ্যে নিষিদ্ধ, কিন্তু ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীদের সতর্ক করে যখন তারা একটি শনাক্ত রুটিং অ্যাপ্লিকেশন ইনস্টল করার চেষ্টা করে—সেটি যেখান থেকেই আসুক না কেন। উপরন্তু, ভেরিফাই অ্যাপ্লিকেশানগুলি পরিচিত দূষিত অ্যাপ্লিকেশনগুলির ইনস্টলেশন সনাক্ত এবং ব্লক করার চেষ্টা করে যা একটি বিশেষাধিকার বৃদ্ধির দুর্বলতাকে কাজে লাগায়৷ যদি এই ধরনের একটি অ্যাপ্লিকেশন ইতিমধ্যেই ইনস্টল করা হয়ে থাকে, তবে ভেরিফাই অ্যাপ্লিকেশানগুলি ব্যবহারকারীকে অবহিত করবে এবং সনাক্ত করা অ্যাপ্লিকেশনটি সরানোর চেষ্টা করবে৷
  • উপযুক্ত হিসাবে, Google Hangouts এবং Messenger অ্যাপ্লিকেশনগুলি মিডিয়া সার্ভারের মতো প্রক্রিয়াগুলিতে স্বয়ংক্রিয়ভাবে মিডিয়া পাস করে না।

স্বীকৃতি

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

  • ডি শেন ( @returnsme ) KeenLab ( @keen_lab ), Tencent: CVE-2016-2468
  • গাল বেনিয়ামিনি ( @লাগিনিমাইনেব ): CVE-2016-2476
  • Gengjia Chen ( @chengjia4574 ), IceSword Lab এর pjf ( weibo.com/jfpan ), Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
  • মোবাইল সেফ টিমের হাও চেন, গুয়াং গং এবং ওয়েনলিন ইয়াং, কিহু 360 প্রযুক্তি কোং লিমিটেড: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2010 2498
  • ইও বনাস : CVE-2016-2496
  • IceSword Lab, Qihoo 360 Technology Co. Ltd. এর জিয়ানকিয়াং ঝাও ( @jianqiangzhao ) এবং pjf ( weibo.com/jfpan )
  • গুগলের লি ক্যাম্পবেল: CVE-2016-2500
  • গুগল সিকিউরিটি টিমের ম্যাকিয়েজ সাওলোস্কি: CVE-2016-2474
  • মার্কো নেলিসেন এবং গুগলের ম্যাক্স স্পেক্টর: CVE-2016-2487
  • গুগল প্রোজেক্ট জিরোর মার্ক ব্র্যান্ড: CVE-2016-2494
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ), এবং C0RE টিমের Xuxian জিয়াং: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2016, CVE-2016-2018, CVE-2016-2478 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
  • স্কট বাউয়ার ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
  • ভ্যাসিলি ভাসিলেভ: CVE-2016-2463
  • আলিবাবা ইনকর্পোরেটেডের উইচাও সান ( @সানব্লেট ): CVE-2016-2495
  • Tencent নিরাপত্তা প্ল্যাটফর্ম বিভাগের Xiling Gong: CVE-2016-2499
  • অ্যান্ড্রয়েড সিকিউরিটি টিমের Zach Riggle ( @ebeip90 ): CVE-2016-2493

নিরাপত্তা দুর্বলতার বিবরণ

নীচের বিভাগগুলিতে, আমরা 2016-06-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। সমস্যাটির একটি বিবরণ, একটি তীব্রতার যুক্তি এবং CVE এর সাথে একটি টেবিল, সম্পর্কিত Android বাগ, তীব্রতা, আপডেট করা Nexus ডিভাইস, আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য), এবং রিপোর্ট করা তারিখ রয়েছে। উপলভ্য হলে, আমরা AOSP পরিবর্তনটিকে লিঙ্ক করব যা সমস্যাটি বাগ আইডির সাথে সম্বোধন করেছে। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত, অতিরিক্ত AOSP রেফারেন্সগুলি বাগ আইডি অনুসরণকারী সংখ্যাগুলির সাথে লিঙ্ক করা হয়।

মিডিয়াসার্ভারে রিমোট কোড এক্সিকিউশন দুর্বলতা

মিডিয়া সার্ভারে একটি দূরবর্তী কোড কার্যকর করার দুর্বলতা একটি আক্রমণকারীকে একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে মিডিয়া ফাইল এবং ডেটা প্রক্রিয়াকরণের সময় মেমরি দুর্নীতির কারণ হতে পারে। মিডিয়াসার্ভার প্রক্রিয়ার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে সমালোচনামূলক হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার প্রক্রিয়ার অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেস রয়েছে, সেইসাথে বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে প্রদান করা হয়, এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-2463 27855419 সমালোচনামূলক সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 মার্চ, 2016

libwebm-এ রিমোট কোড এক্সিকিউশন দুর্বলতা

libwebm-এর সাথে রিমোট কোড এক্সিকিউশন দুর্বলতাগুলি মিডিয়া ফাইল এবং ডেটা প্রক্রিয়াকরণের সময় মেমরি দুর্নীতির জন্য একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে আক্রমণকারীকে সক্ষম করতে পারে। মিডিয়াসার্ভার প্রক্রিয়ার প্রেক্ষাপটে দূরবর্তী কোড কার্যকর করার সম্ভাবনার কারণে এই সমস্যাটিকে সমালোচনামূলক হিসাবে রেট করা হয়েছে। মিডিয়াসার্ভার প্রক্রিয়ার অডিও এবং ভিডিও স্ট্রিমগুলিতে অ্যাক্সেস রয়েছে, সেইসাথে বিশেষাধিকারগুলিতে অ্যাক্সেস রয়েছে যা তৃতীয় পক্ষের অ্যাপগুলি সাধারণত অ্যাক্সেস করতে পারে না।

প্রভাবিত কার্যকারিতা অপারেটিং সিস্টেমের একটি মূল অংশ হিসাবে প্রদান করা হয়, এবং একাধিক অ্যাপ্লিকেশন রয়েছে যা এটিকে দূরবর্তী সামগ্রীর সাথে পৌঁছানোর অনুমতি দেয়, বিশেষত MMS এবং মিডিয়ার ব্রাউজার প্লেব্যাক।

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-2464 23167726 [ 2 ] সমালোচনামূলক সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

কোয়ালকম ভিডিও ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

Qualcomm ভিডিও ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস তারিখ রিপোর্ট
CVE-2016-2465 27407865* সমালোচনামূলক Nexus 5, Nexus 5X, Nexus 6, Nexus 6P ফেব্রুয়ারী 21, 2016

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কোয়ালকম সাউন্ড ড্রাইভারে প্রিভিলেজ দুর্বলতার উচ্চতা

Qualcomm সাউন্ড ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস তারিখ রিপোর্ট
CVE-2016-2466 27947307* সমালোচনামূলক নেক্সাস 6 ফেব্রুয়ারী 27, 2016
CVE-2016-2467 28029010* সমালোচনামূলক নেক্সাস 5 13 মার্চ, 2014

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কোয়ালকম জিপিইউ ড্রাইভারে প্রিভিলেজ দুর্বলতার উচ্চতা

Qualcomm GPU ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস তারিখ রিপোর্ট
CVE-2016-2468 27475454* সমালোচনামূলক Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 2 মার্চ, 2016
CVE-2016-2062 27364029* সমালোচনামূলক Nexus 5X, Nexus 6P 6 মার্চ, 2016

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কোয়ালকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

কোয়ালকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। স্থানীয় স্থায়ী ডিভাইস সমঝোতার সম্ভাবনার কারণে এই সমস্যাটিকে জটিল হিসাবে রেট করা হয়েছে, যার জন্য ডিভাইসটি মেরামত করার জন্য অপারেটিং সিস্টেমকে রিফ্ল্যাশ করার প্রয়োজন হতে পারে।

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস তারিখ রিপোর্ট
CVE-2016-2474 27424603* সমালোচনামূলক Nexus 5X গুগল অভ্যন্তরীণ

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকারের দুর্বলতার উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সিস্টেম কলগুলি আহ্বান করতে সক্ষম করতে পারে যাতে এটি করার বিশেষ সুবিধা ছাড়াই ডিভাইস সেটিংস এবং আচরণ পরিবর্তন করা যায়। এই সমস্যাটি উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উন্নত ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে।

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস তারিখ রিপোর্ট
CVE-2016-2475 26425765* উচ্চ Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C জানুয়ারী 6, 2016

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কোয়ালকম সাউন্ড ড্রাইভারে প্রিভিলেজ দুর্বলতার উচ্চতা

Qualcomm সাউন্ড ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা কার্নেলের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি দূষিত অ্যাপ্লিকেশন সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে ড্রাইভারকে কল করতে পারে এমন একটি পরিষেবার সাথে আপস করতে হবে৷

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস তারিখ রিপোর্ট
CVE-2016-2066 26876409* উচ্চ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P জানুয়ারী 29, 2016
CVE-2016-2469 27531992* উচ্চ Nexus 5, Nexus 6, Nexus 6P 4 মার্চ, 2016

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার উচ্চতা

মিডিয়াসার্ভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-2476 27207275 [ 2 ] [ 3 ] [ 4 ] উচ্চ সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ফেব্রুয়ারী 11, 2016
CVE-2016-2477 27251096 উচ্চ সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ফেব্রুয়ারী 17, 2016
CVE-2016-2478 27475409 উচ্চ সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 মার্চ, 2016
CVE-2016-2479 27532282 উচ্চ সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 মার্চ, 2016
CVE-2016-2480 27532721 উচ্চ সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 মার্চ, 2016
CVE-2016-2481 27532497 উচ্চ সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 মার্চ, 2016
CVE-2016-2482 27661749 উচ্চ সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 মার্চ, 2016
CVE-2016-2483 27662502 উচ্চ সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 মার্চ, 2016
CVE-2016-2484 27793163 উচ্চ সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 মার্চ, 2016
CVE-2016-2485 27793367 উচ্চ সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 মার্চ, 2016
CVE-2016-2486 27793371 উচ্চ সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 মার্চ, 2016
CVE-2016-2487 27833616 [ 2 ] [ 3 ] উচ্চ সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

কোয়ালকম ক্যামেরা ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

Qualcomm ক্যামেরা ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে ড্রাইভারকে কল করতে পারে এমন একটি পরিষেবার সাথে আপস করতে হবে৷

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস তারিখ রিপোর্ট
CVE-2016-2061 27207747* উচ্চ Nexus 5X, Nexus 6P ফেব্রুয়ারী 15, 2016
CVE-2016-2488 27600832* উচ্চ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) গুগল অভ্যন্তরীণ

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কোয়ালকম ভিডিও ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

Qualcomm ভিডিও ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে ড্রাইভারকে কল করতে পারে এমন একটি পরিষেবার সাথে আপস করতে হবে৷

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস তারিখ রিপোর্ট
CVE-2016-2489 27407629* উচ্চ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P ফেব্রুয়ারী 21, 2016

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

NVIDIA ক্যামেরা ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

NVIDIA ক্যামেরা ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি প্রথমে ড্রাইভারকে কল করার জন্য একটি পরিষেবার সাথে আপস করতে হবে৷

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস তারিখ রিপোর্ট
CVE-2016-2490 27533373* উচ্চ নেক্সাস 9 6 মার্চ, 2016
CVE-2016-2491 27556408* উচ্চ নেক্সাস 9 8 মার্চ, 2016

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

কোয়ালকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

কোয়ালকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকারের দুর্বলতার একটি উচ্চতা কার্নেলের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে ড্রাইভারকে কল করতে পারে এমন একটি পরিষেবার সাথে আপস করতে হবে৷

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস তারিখ রিপোর্ট
CVE-2016-2470 27662174* উচ্চ Nexus 7 (2013) 13 মার্চ, 2016
CVE-2016-2471 27773913* উচ্চ Nexus 7 (2013) মার্চ 19, 2016
CVE-2016-2472 27776888* উচ্চ Nexus 7 (2013) 20 মার্চ, 2016
CVE-2016-2473 27777501* উচ্চ Nexus 7 (2013) 20 মার্চ, 2016

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

মিডিয়াটেক পাওয়ার ম্যানেজমেন্ট ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

মিডিয়াটেক পাওয়ার ম্যানেজমেন্ট ড্রাইভারে বিশেষাধিকারের একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে ডিভাইসের সাথে আপস করা এবং ড্রাইভারকে কল করার জন্য রুট করার জন্য একটি উচ্চতা প্রয়োজন৷

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস তারিখ রিপোর্ট
CVE-2016-2492 28085410* উচ্চ অ্যান্ড্রয়েড ওয়ান 7 এপ্রিল, 2016

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

SD কার্ড ইমুলেশন লেয়ারে বিশেষাধিকার দুর্বলতার উচ্চতা

SD কার্ড ইউজারস্পেস এমুলেশন লেয়ারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি উন্নত সিস্টেম অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি উচ্চতর ক্ষমতাগুলিতে স্থানীয় অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যেমন স্বাক্ষর বা SignatureOrSystem অনুমতি সুবিধা, যা তৃতীয় পক্ষের অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য নয়।

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-2494 28085658 উচ্চ সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 এপ্রিল, 2016

ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতা

ব্রডকম ওয়াই-ফাই ড্রাইভারে বিশেষাধিকার দুর্বলতার একটি উচ্চতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে কারণ এটি প্রথমে ড্রাইভারকে কল করার জন্য একটি পরিষেবার সাথে আপস করতে হবে৷

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস তারিখ রিপোর্ট
CVE-2016-2493 26571522* উচ্চ Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C গুগল অভ্যন্তরীণ

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

মিডিয়াসার্ভারে পরিষেবা দুর্বলতার দূরবর্তী অস্বীকার

মিডিয়াসার্ভারে পরিষেবার দুর্বলতার একটি দূরবর্তী অস্বীকৃতি একটি আক্রমণকারীকে একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করতে সক্ষম করতে পারে যাতে একটি ডিভাইস হ্যাং বা রিবুট হয়। দূরবর্তী পরিষেবা অস্বীকার করার সম্ভাবনার কারণে এই সমস্যাটিকে উচ্চ হিসাবে রেট করা হয়েছে৷

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-2495 28076789 [ 2 ] উচ্চ সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 এপ্রিল, 2016

ফ্রেমওয়ার্ক UI-তে বিশেষাধিকার দুর্বলতার উচ্চতা

ফ্রেমওয়ার্ক UI অনুমতি ডায়ালগ উইন্ডোতে বিশেষাধিকার দুর্বলতার একটি উচ্চতা আক্রমণকারীকে ব্যক্তিগত স্টোরেজে অননুমোদিত ফাইলগুলিতে অ্যাক্সেস পেতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি ভুলভাবে " বিপজ্জনক " অনুমতি পেতে ব্যবহার করা যেতে পারে।

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-2496 26677796 [ 2 ] [ 3 ] পরিমিত সমস্ত নেক্সাস 6.0, 6.1 26 মে, 2015

Qualcomm Wi-Fi ড্রাইভারে তথ্য প্রকাশের দুর্বলতা

Qualcomm Wi-Fi ড্রাইভারের একটি তথ্য প্রকাশ একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটির জন্য প্রথমে ড্রাইভারকে কল করতে পারে এমন একটি পরিষেবার সাথে আপস করতে হবে৷

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস তারিখ রিপোর্ট
CVE-2016-2498 27777162* পরিমিত Nexus 7 (2013) 20 মার্চ, 2016

* এই সমস্যার জন্য প্যাচ AOSP-এ নেই। আপডেটটি গুগল ডেভেলপার সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে রয়েছে৷

মিডিয়া সার্ভারে তথ্য প্রকাশের দুর্বলতা

মিডিয়াসার্ভারে একটি তথ্য প্রকাশের দুর্বলতা একটি অ্যাপ্লিকেশনকে সংবেদনশীল তথ্য অ্যাক্সেস করার অনুমতি দিতে পারে। এই সমস্যাটিকে মধ্যপন্থী হিসাবে রেট করা হয়েছে কারণ এটি অনুমতি ছাড়াই ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-2499 27855172 পরিমিত সমস্ত নেক্সাস 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 মার্চ, 2016

অ্যাক্টিভিটি ম্যানেজারে তথ্য প্রকাশের দুর্বলতা

অ্যাক্টিভিটি ম্যানেজার উপাদানে একটি তথ্য প্রকাশের দুর্বলতা একটি অ্যাপ্লিকেশনকে সংবেদনশীল তথ্য অ্যাক্সেস করার অনুমতি দিতে পারে। এই সমস্যাটিকে মধ্যম রেট দেওয়া হয়েছে কারণ এটি অনুমতি ছাড়াই ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে।

সিভিই অ্যান্ড্রয়েড বাগ নির্দয়তা আপডেট করা Nexus ডিভাইস AOSP সংস্করণ আপডেট করা হয়েছে তারিখ রিপোর্ট
CVE-2016-2500 19285814 পরিমিত সমস্ত নেক্সাস 5.0.2, 5.1.1, 6.0, 6.0.1 গুগল অভ্যন্তরীণ

সাধারণ প্রশ্ন ও উত্তর

এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

জুন 01, 2016 এর নিরাপত্তা প্যাচ স্তরগুলি বা তার পরে এই সমস্যাগুলি সমাধান করে (কীভাবে নিরাপত্তা প্যাচ স্তর পরীক্ষা করতে হয় সে সম্পর্কে নির্দেশাবলীর জন্য Nexus ডকুমেন্টেশন পড়ুন)। এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং লেভেল সেট করা উচিত: [ro.build.version.security_patch]:[2016-06-01]

2. প্রতিটি সমস্যা দ্বারা কোন Nexus ডিভাইসগুলি প্রভাবিত হবে তা আমি কীভাবে নির্ধারণ করব?

নিরাপত্তা দুর্বলতার বিবরণ বিভাগে, প্রতিটি সারণীতে একটি আপডেট করা Nexus ডিভাইস কলাম রয়েছে যা প্রতিটি সমস্যার জন্য আপডেট করা প্রভাবিত Nexus ডিভাইসের পরিসরকে কভার করে। এই কলামে কয়েকটি বিকল্প রয়েছে:

  • সমস্ত নেক্সাস ডিভাইস : যদি কোনও সমস্যা সমস্ত নেক্সাস ডিভাইসকে প্রভাবিত করে, তবে আপডেট করা নেক্সাস ডিভাইস কলামে টেবিলটিতে "সমস্ত নেক্সাস" থাকবে। "সমস্ত Nexus" নিম্নলিখিত সমর্থিত ডিভাইসগুলিকে এনক্যাপসুলেট করে: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, এবং Pixel C৷
  • কিছু নেক্সাস ডিভাইস : যদি কোনো সমস্যা সমস্ত নেক্সাস ডিভাইসকে প্রভাবিত না করে, ক্ষতিগ্রস্ত নেক্সাস ডিভাইসগুলি আপডেট করা নেক্সাস ডিভাইস কলামে তালিকাভুক্ত করা হয়।
  • কোনো নেক্সাস ডিভাইস নেই : যদি কোনো নেক্সাস ডিভাইস সমস্যা দ্বারা প্রভাবিত না হয়, তাহলে আপডেট করা নেক্সাস ডিভাইস কলামে টেবিলটিতে "কোনটিই নয়" থাকবে।

রিভিশন

  • জুন 06, 2016: বুলেটিন প্রকাশিত।
  • জুন 07, 2016:
    • AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
    • CVE-2016-2496 বুলেটিন থেকে সরানো হয়েছে।
  • জুন 08, 2016: CVE-2016-2496 আবার বুলেটিনে যোগ করা হয়েছে।