Android নিরাপত্তা বুলেটিন—জুলাই 2017

প্রকাশিত জুলাই 5, 2017 | 26 সেপ্টেম্বর, 2017 আপডেট করা হয়েছে

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ 05 জুলাই, 2017 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে৷ একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে চেক করতে হয় তা জানতে Pixel এবং Nexus আপডেটের সময়সূচী পড়ুন।

অন্তত এক মাস আগে বুলেটিনে বর্ণিত সমস্যা সম্পর্কে অংশীদারদের অবহিত করা হয়েছিল। এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল মিডিয়া ফ্রেমওয়ার্কের একটি গুরুতর নিরাপত্তা দুর্বলতা যা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে। প্ল্যাটফর্ম এবং পরিষেবা প্রশমনগুলি উন্নয়নের উদ্দেশ্যে বন্ধ করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণ বা অপব্যবহারের কোনও রিপোর্ট নেই। Android সিকিউরিটি প্ল্যাটফর্ম সুরক্ষা এবং Google Play Protect সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google Play Protect প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে।

আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷

দ্রষ্টব্য: সর্বশেষ ওভার-দ্য-এয়ার আপডেট (OTA) এবং Google ডিভাইসগুলির জন্য ফার্মওয়্যার চিত্রগুলির তথ্য Google ডিভাইস আপডেট বিভাগে উপলব্ধ।

ঘোষণা

  • এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তরের স্ট্রিং রয়েছে যা Android অংশীদারদের আরও দ্রুত দুর্বলতার একটি উপসেট ঠিক করার জন্য নমনীয়তা প্রদান করে যা সমস্ত Android ডিভাইসে একই রকম। অতিরিক্ত তথ্যের জন্য সাধারণ প্রশ্ন এবং উত্তর দেখুন:
    • 2017-07-01 : আংশিক নিরাপত্তা প্যাচ স্তরের স্ট্রিং। এই নিরাপত্তা প্যাচ স্তরের স্ট্রিংটি নির্দেশ করে যে 2017-07-01 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷
    • 2017-07-05 : সম্পূর্ণ নিরাপত্তা প্যাচ স্তরের স্ট্রিং। এই নিরাপত্তা প্যাচ স্তরের স্ট্রিংটি নির্দেশ করে যে 2017-07-01 এবং 2017-07-05 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷

অ্যান্ড্রয়েড এবং গুগল প্লে সুরক্ষা প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং পরিষেবা সুরক্ষা যেমন Google Play Protect দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android নিরাপত্তা দল সক্রিয়ভাবে Google Play Protect- এর মাধ্যমে অপব্যবহারের জন্য নজরদারি করে এবং ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে। Google Play Protect ডিফল্টরূপে Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে সক্রিয় থাকে এবং বিশেষত সেই সমস্ত ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপগুলি ইনস্টল করেন৷

2017-07-01 নিরাপত্তা প্যাচ লেভেল—ভালনারেবিলিটি বিশদ

নীচের বিভাগে, আমরা 2017-07-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাটির বর্ণনা এবং CVE, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) সহ একটি টেবিল রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

রানটাইম

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে দূরবর্তী আক্রমণকারীকে একটি সুবিধাহীন প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2017-3544 এ-35784677 আরসিই পরিমিত 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা লাইব্রেরি ব্যবহার করে এমন একটি অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি স্থানীয় দূষিত অ্যাপ্লিকেশন সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2017-0664 এ-36491278 ইওপি উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0665 A-36991414 ইওপি উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0666 এ-37285689 ইওপি উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0667 এ-37478824 ইওপি উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0668 A-22011579 আইডি পরিমিত 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0669 এ-34114752 আইডি উচ্চ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0670 এ-36104177 DoS উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

লাইব্রেরি

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা লাইব্রেরি ব্যবহার করে এমন একটি অ্যাপ্লিকেশনের প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে দূরবর্তী আক্রমণকারীকে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2017-0671 A-34514762 * আরসিই উচ্চ 4.4.4
CVE-2016-2109 এ-35443725 DoS উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0672 এ-34778578 DoS উচ্চ 7.0, 7.1.1, 7.1.2

মিডিয়া ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2017-0540 এ-33966031 আরসিই সমালোচনামূলক 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0673 এ-33974623 আরসিই সমালোচনামূলক 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0674 এ-34231163 আরসিই সমালোচনামূলক 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0675 A-34779227 [ 2 ] আরসিই সমালোচনামূলক 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0676 এ-34896431 আরসিই সমালোচনামূলক 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0677 এ-36035074 আরসিই সমালোচনামূলক 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0678 এ-36576151 আরসিই সমালোচনামূলক 7.0, 7.1.1, 7.1.2
CVE-2017-0679 A-36996978 আরসিই সমালোচনামূলক 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0680 এ-37008096 আরসিই সমালোচনামূলক 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0681 এ-37208566 আরসিই সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0682 A-36588422 * আরসিই উচ্চ 7.0, 7.1.1, 7.1.2
CVE-2017-0683 A-36591008 * আরসিই উচ্চ 7.0, 7.1.1, 7.1.2
CVE-2017-0684 এ-35421151 ইওপি উচ্চ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0685 এ-34203195 DoS উচ্চ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0686 এ-34231231 DoS উচ্চ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0688 এ-35584425 DoS উচ্চ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0689 এ-36215950 DoS উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0690 এ-36592202 DoS উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0691 এ-36724453 DoS উচ্চ 7.0, 7.1.1, 7.1.2
CVE-2017-0692 এ-36725407 DoS উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0693 এ-36993291 DoS উচ্চ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0694 এ-37093318 DoS উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0695 এ-37094889 DoS উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0696 এ-37207120 DoS উচ্চ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0697 এ-37239013 DoS উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0698 এ-35467458 আইডি পরিমিত 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0699 এ-36490809 আইডি পরিমিত 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

সিস্টেম UI

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2017-0700 এ-35639138 আরসিই উচ্চ 7.1.1, 7.1.2
CVE-2017-0701 A-36385715 [ 2 ] আরসিই উচ্চ 7.1.1, 7.1.2
CVE-2017-0702 এ-36621442 আরসিই উচ্চ 7.1.1, 7.1.2
CVE-2017-0703 এ-33123882 ইওপি উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0704 এ-33059280 ইওপি পরিমিত 7.1.1, 7.1.2

2017-07-05 নিরাপত্তা প্যাচ স্তর — দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2017-07-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি সেই উপাদানগুলির অধীনে গোষ্ঠীভুক্ত করা হয় যা তারা প্রভাবিত করে এবং বিশদগুলি অন্তর্ভুক্ত করে যেমন CVE, সম্পর্কিত রেফারেন্স, দুর্বলতার ধরন , তীব্রতা , উপাদান (যেখানে প্রযোজ্য), এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য)। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

ব্রডকম উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি প্রক্সিমেট আক্রমণকারীকে কার্নেলের প্রসঙ্গে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-9417 A-38041027 *
B-RB#123023
আরসিই সমালোচনামূলক ওয়াই-ফাই ড্রাইভার
CVE-2017-0705 A-34973477 *
B-RB#119898
ইওপি পরিমিত ওয়াই-ফাই ড্রাইভার
CVE-2017-0706 A-35195787 *
B-RB#120532
ইওপি পরিমিত ওয়াই-ফাই ড্রাইভার

এইচটিসি উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-0707 A-36088467 * ইওপি পরিমিত অগ্রদত চালক
CVE-2017-0708 A-35384879 * আইডি পরিমিত সাউন্ড ড্রাইভার
CVE-2017-0709 A-35468048 * আইডি কম সেন্সর হাব ড্রাইভার

কার্নেল উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-6074 এ-35784697
আপস্ট্রিম কার্নেল
ইওপি উচ্চ নেটওয়ার্কিং সাবসিস্টেম
CVE-2017-5970 এ-35805460
আপস্ট্রিম কার্নেল
DoS উচ্চ নেটওয়ার্কিং সাবসিস্টেম
CVE-2015-5707 এ-35841297
আপস্ট্রিম কার্নেল [ 2 ]
ইওপি পরিমিত SCSI ড্রাইভার
CVE-2017-7308 এ-36725304
আপস্ট্রিম কার্নেল [ 2 ] [ 3 ]
ইওপি পরিমিত নেটওয়ার্কিং ড্রাইভার
CVE-2014-9731 এ-35841292
আপস্ট্রিম কার্নেল
আইডি পরিমিত নথি ব্যবস্থা

মিডিয়াটেক উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-0711 A-36099953 *
M-ALPS03206781
ইওপি উচ্চ নেটওয়ার্কিং ড্রাইভার

NVIDIA উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-0340 A-33968204 *
N-CVE-2017-0340
ইওপি উচ্চ Libnvparser
CVE-2017-0326 A-33718700 *
N-CVE-2017-0326
আইডি পরিমিত ভিডিও ড্রাইভার

কোয়ালকম উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে কার্নেলের প্রসঙ্গে স্বেচ্ছাচারী কোড কার্যকর করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-8255 এ-36251983
QC-CR#985205
ইওপি উচ্চ বুটলোডার
CVE-2016-10389 A-34500449
QC-CR#1009145
ইওপি উচ্চ বুটলোডার
CVE-2017-8253 A-35400552
QC-CR#1086764
ইওপি উচ্চ ক্যামেরা ড্রাইভার
CVE-2017-8262 A-32938443
QC-CR#2029113
ইওপি উচ্চ GPU ড্রাইভার
CVE-2017-8263 A-34126808 *
QC-CR#1107034
ইওপি উচ্চ বেনামী শেয়ার করা মেমরি সাবসিস্টেম
CVE-2017-8267 A-34173755 *
QC-CR#2001129
ইওপি উচ্চ বেনামী শেয়ার করা মেমরি সাবসিস্টেম
CVE-2017-8273 A-35400056
QC-CR#1094372 [ 2 ]
ইওপি উচ্চ বুটলোডার
CVE-2016-5863 এ-36251182
QC-CR#1102936
ইওপি পরিমিত USB HID ড্রাইভার
CVE-2017-8243 A-34112490 *
QC-CR#2001803
ইওপি পরিমিত SoC ড্রাইভার
CVE-2017-8246 এ-37275839
QC-CR#2008031
ইওপি পরিমিত সাউন্ড ড্রাইভার
CVE-2017-8256 এ-37286701
QC-CR#1104565
ইওপি পরিমিত ওয়াই-ফাই ড্রাইভার
CVE-2017-8257 এ-37282763
QC-CR#2003129
ইওপি পরিমিত ভিডিও ড্রাইভার
CVE-2017-8259 A-34359487
QC-CR#2009016
ইওপি পরিমিত SoC ড্রাইভার
CVE-2017-8260 এ-34624155
QC-CR#2008469
ইওপি পরিমিত ক্যামেরা ড্রাইভার
CVE-2017-8261 A-35139833 *
QC-CR#2013631
ইওপি পরিমিত ক্যামেরা ড্রাইভার
CVE-2017-8264 A-33299365 *
QC-CR#1107702
ইওপি পরিমিত ক্যামেরা ড্রাইভার
CVE-2017-8265 এ-32341313
QC-CR#1109755
ইওপি পরিমিত ভিডিও ড্রাইভার
CVE-2017-8266 এ-33863407
QC-CR#1110924
ইওপি পরিমিত ভিডিও ড্রাইভার
CVE-2017-8268 A-34620535 *
QC-CR#2002207
ইওপি পরিমিত ক্যামেরা ড্রাইভার
CVE-2017-8270 A-35468665 *
QC-CR#2021363
ইওপি পরিমিত ওয়াই-ফাই ড্রাইভার
CVE-2017-8271 A-35950388 *
QC-CR#2028681
ইওপি পরিমিত ভিডিও ড্রাইভার
CVE-2017-8272 A-35950805 *
QC-CR#2028702
ইওপি পরিমিত ভিডিও ড্রাইভার
CVE-2017-8254 এ-36252027
QC-CR#832914
আইডি পরিমিত সাউন্ড ড্রাইভার
CVE-2017-8258 এ-37279737
QC-CR#2005647
আইডি পরিমিত ক্যামেরা ড্রাইভার
CVE-2017-8269 A-33967002 *
QC-CR#2013145
আইডি পরিমিত আইপিএ ড্রাইভার

কোয়ালকম ক্লোজড সোর্স উপাদান

এই দুর্বলতাগুলি Qualcomm উপাদানগুলিকে প্রভাবিত করে এবং 2014-2016 সালে Qualcomm AMSS নিরাপত্তা বুলেটিনে আরও বিশদে বর্ণনা করা হয়েছে। একটি Android নিরাপত্তা প্যাচ স্তরের সাথে তাদের সংশোধনগুলি সংযুক্ত করার জন্য তারা এই Android নিরাপত্তা বুলেটিনে অন্তর্ভুক্ত করা হয়েছে৷ এই দুর্বলতার জন্য সমাধান সরাসরি Qualcomm থেকে উপলব্ধ।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2014-9411 A-37473054 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2014-9968 A-37304413 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2014-9973 A-37470982 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2014-9974 A-37471979 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2014-9975 A-37471230 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2014-9977 A-37471087 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2014-9978 A-37468982 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2014-9979 A-37471088 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2014-9980 A-37471029 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-0575 A-37296999 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-8592 A-37470090 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-8595 A-37472411 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-8596 A-37472806 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9034 A-37305706 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9035 A-37303626 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9036 A-37303519 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9037 A-37304366 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9038 A-37303027 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9039 A-37302628 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9040 A-37303625 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9041 A-37303518 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9042 A-37301248 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9043 A-37305954 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9044 A-37303520 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9045 A-37302136 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9046 A-37301486 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9047 A-37304367 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9048 A-37305707 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9049 A-37301488 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9050 A-37302137 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9051 A-37300737 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9052 A-37304217 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9053 A-37301249 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9054 A-37303177 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9055 A-37472412 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9060 A-37472807 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9061 A-37470436 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9062 A-37472808 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9067 A-37474000 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9068 A-37470144 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9069 A-37470777 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9070 A-37474001 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9071 A-37471819 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9072 A-37474002 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2015-9073 A-37473407 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2016-10343 A-32580186 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2016-10344 A-32583954 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2016-10346 A-37473408 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2016-10347 A-37471089 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2016-10382 A-28823584 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2016-10383 A-28822389 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2016-10388 A-32580294 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2016-10391 A-32583804 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2016-5871 A-37473055 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2016-5872 A-37472809 * N/A উচ্চ ক্লোজড সোর্স কম্পোনেন্ট

গুগল ডিভাইস আপডেট

এই টেবিলে লেটেস্ট ওভার-দ্য-এয়ার আপডেট (OTA) এবং Google ডিভাইসের জন্য ফার্মওয়্যার ইমেজের নিরাপত্তা প্যাচ লেভেল রয়েছে। Google ডিভাইসের ফার্মওয়্যারের ছবিগুলি Google ডেভেলপার সাইটে পাওয়া যায়।

গুগল ডিভাইস নিরাপত্তা প্যাচ স্তর
পিক্সেল/পিক্সেল এক্সএল জুলাই 05, 2017
Nexus 5X জুলাই 05, 2017
নেক্সাস 6 জুলাই 05, 2017
Nexus 6P জুলাই 05, 2017
নেক্সাস 9 জুলাই 05, 2017
নেক্সাস প্লেয়ার জুলাই 05, 2017
পিক্সেল সি জুলাই 05, 2017

Google ডিভাইস আপডেটগুলিতে এই নিরাপত্তা দুর্বলতার জন্য প্যাচও রয়েছে, যদি প্রযোজ্য হয়:

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-0710 A-34951864 * ইওপি পরিমিত টিসিবি

স্বীকৃতি

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

সিভিই গবেষকরা
CVE-2017-8263 গুগলের বিলি লাউ
CVE-2017-0711 আলিবাবা মোবাইল সিকিউরিটি গ্রুপের চেংমিং ইয়াং, বাওজেং ডিং এবং ইয়াং গান
CVE-2017-0681 চি ঝাং , হ্যানজিয়াং ওয়েন , মিংজিয়ান ঝো ( @মিংজিয়ান_ঝৌ ), এবং C0RE টিমের জুক্সিয়ান জিয়াং
CVE-2017-0706 Xuanwu Lab, Tencent-এর Daxing Guo ( @freener0 )
CVE-2017-8260 ডেরেক ( @derrekr6 ) এবং স্কট বাউয়ার
CVE-2017-8265 ডি শেন ( @returnsme ) KeenLab ( @keen_lab ), টেনসেন্ট
CVE-2017-0703 Dzmitry Lukyanenka
CVE-2017-0692, CVE-2017-0694 আলফা টিমের এলফেট এবং গং গুয়াং, কিহু 360 প্রযুক্তি কোং লিমিটেড।
CVE-2017-8266, CVE-2017-8243, CVE-2017-8270 Gengjia Chen ( @chengjia4574 ) এবং IceSword Lab এর pjf , Qihoo 360 Technology Co. Ltd.
CVE-2017-0665 চি ঝাং , হ্যানজিয়াং ওয়েন , মিংজিয়ান ঝো ( @মিংজিয়ান_ঝৌ ), এবং C0RE টিমের জুক্সিয়ান জিয়াং
CVE-2017-8268, CVE-2017-8261 Jianqiang Zhao ( @jianqiangzhao ) এবং IceSword Lab, Qihoo 360 এর pjf
CVE-2017-0698 সেন্সাস কনসাল্টিং ইনকর্পোরেটেডের জোয়ি ব্র্যান্ড।
CVE-2017-0666, CVE-2017-0684 C0RE টিমের মিংজিয়ান ঝু ( @Mingjian_Zhou ), চি ঝাং এবং Xuxian জিয়াং
CVE-2017-0697, CVE-2017-0670 Niky1235 ( @jiych_guru )
CVE-2017-9417 এক্সোডাস ইন্টেলিজেন্সের নিতয় আর্টেনস্টাইন
CVE-2017-0705, CVE-2017-8259 স্কট বাউয়ার
CVE-2017-0667 CSS Inc এর টিমোথি বেকার।
CVE-2017-0682, CVE-2017-0683, CVE-2017-0676, CVE-2017-0696, CVE-2017-0675, CVE-2017-0701, CVE-2017-07091, CVE-2017-0702, ভ্যাসিলি ভ্যাসিলিভ
CVE-2017-0695, CVE-2017-0689, CVE-2017-0540, CVE-2017-0680, CVE-2017-0679, CVE-2017-0685, CVE-2017-06685, CVE-2017-06686, CVE-06362 2017-0674, CVE-2017-0677 VEO ( @VYSEa ) মোবাইল থ্রেট রেসপন্স টিম , ট্রেন্ড মাইক্রো
CVE-2017-0708 Tencent নিরাপত্তা প্ল্যাটফর্ম বিভাগের Xiling Gong
CVE-2017-0690 Qihoo 360 Qex টিমের ইয়াংকাং ( @dnpushme ) এবং Liyadong
CVE-2017-8269, CVE-2017-8271, CVE-2017-8272, CVE-2017-8267 IceSword Lab এর Yonggang Guo ( @guoygang ), Qihoo 360 Technology Co. Ltd.
CVE-2017-8264, CVE-2017-0326, CVE-2017-0709 ইউয়ান-সুং লো ( computernik@gmail.com ) এবং C0RE টিমের Xuxian জিয়াং
CVE-2017-0704, CVE-2017-0669 টেনসেন্ট সিকিউরিটি প্ল্যাটফর্ম বিভাগের ইউক্সিয়াং লি ( @Xbalien29 )
CVE-2017-0710 Android নিরাপত্তা দলের Zach Riggle ( @ebeip90 )
CVE-2017-0678 চেংডু সিকিউরিটি রেসপন্স সেন্টারের জিনু হান , কিহু 360 টেকনোলজি কোং লিমিটেড।
CVE-2017-0691, CVE-2017-0700 চেংডু সিকিউরিটি রেসপন্স সেন্টারের জিনু হান , কিহু 360 টেকনোলজি কোং লিমিটেড এবং পাঙ্গু টিমের আও ওয়াং ( @আরাইজ সেগমেন্ট)

সাধারণ প্রশ্ন এবং উত্তর

এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

কিভাবে একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর চেক করতে হয় তা জানতে, Pixel এবং Nexus আপডেট শিডিউলের নির্দেশাবলী পড়ুন।

  • 2017-07-01 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2017-07-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।
  • 2017-07-05 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি 2017-07-05 নিরাপত্তা প্যাচ স্তর এবং সমস্ত পূর্ববর্তী প্যাচ স্তরগুলির সাথে সম্পর্কিত সমস্ত সমস্যাগুলি সমাধান করে৷

এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:

  • [ro.build.version.security_patch]:[2017-07-01]
  • [ro.build.version.security_patch]:[2017-07-05]

2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?

এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷

  • যে ডিভাইসগুলি জুলাই 01, 2017 সুরক্ষা প্যাচ স্তর ব্যবহার করে সেগুলি অবশ্যই সেই সুরক্ষা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত করতে হবে৷
  • যে ডিভাইসগুলি 05 জুলাই, 2017 বা নতুনের নিরাপত্তা প্যাচ স্তর ব্যবহার করে সেগুলিকে অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।

অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷

3. টাইপ কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ টেবিলের টাইপ কলামের এন্ট্রি নিরাপত্তা দুর্বলতার শ্রেণীবিভাগ উল্লেখ করে।

সংক্ষিপ্ত রূপ সংজ্ঞা
আরসিই রিমোট কোড এক্সিকিউশন
ইওপি বিশেষাধিকারের উচ্চতা
আইডি তথ্য প্রকাশ
DoS সেবা দিতে অস্বীকার করা
N/A শ্রেণীবিভাগ উপলব্ধ নয়

4. রেফারেন্স কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে।

উপসর্গ রেফারেন্স
ক- অ্যান্ড্রয়েড বাগ আইডি
QC- কোয়ালকম রেফারেন্স নম্বর
এম- মিডিয়াটেক রেফারেন্স নম্বর
এন- NVIDIA রেফারেন্স নম্বর
খ- ব্রডকম রেফারেন্স নম্বর

5. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে * এর অর্থ কী?

যে সমস্যাগুলি সর্বজনীনভাবে উপলব্ধ নয় সেগুলির রেফারেন্স কলামে Android বাগ আইডির পাশে একটি * থাকে৷ এই সমস্যার জন্য আপডেটটি সাধারণত Google বিকাশকারী সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে থাকে৷

সংস্করণ

সংস্করণ তারিখ মন্তব্য
1.0 5 জুলাই, 2017 বুলেটিন প্রকাশিত হয়েছে।
1.1 জুলাই 6, 2017 AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
1.2 11 জুলাই, 2017 স্বীকৃতি আপডেট করার জন্য বুলেটিন সংশোধন করা হয়েছে।
1.3 17 আগস্ট, 2017 রেফারেন্স নম্বর আপডেট করতে বুলেটিন সংশোধন করা হয়েছে।
1.4 সেপ্টেম্বর 19, 2017 CVE-2017-0710-এর জন্য আপডেট করা স্বীকৃতি।
1.5 সেপ্টেম্বর 26, 2017 CVE-2017-0681-এর জন্য আপডেট করা স্বীকৃতি।