Android নিরাপত্তা বুলেটিন—সেপ্টেম্বর 2017

প্রকাশিত সেপ্টেম্বর 5, 2017 | 5 অক্টোবর, 2017 আপডেট করা হয়েছে

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ সেপ্টেম্বর 05, 2017 বা তার পরে নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে৷ একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে চেক করতে হয় তা জানতে Pixel এবং Nexus আপডেটের সময়সূচী পড়ুন।

অন্তত এক মাস আগে বুলেটিনে বর্ণিত সমস্যা সম্পর্কে অংশীদারদের অবহিত করা হয়েছিল। এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল মিডিয়া ফ্রেমওয়ার্কের একটি গুরুতর তীব্রতা দুর্বলতা যা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি প্রিভিলেজড প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি দূরবর্তী আক্রমণকারীকে সক্ষম করতে পারে। প্ল্যাটফর্ম এবং পরিষেবা প্রশমনগুলি উন্নয়নের উদ্দেশ্যে বন্ধ করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

আমাদের কাছে এই নতুন রিপোর্ট করা সমস্যাগুলির সক্রিয় গ্রাহক শোষণ বা অপব্যবহারের কোনও রিপোর্ট নেই। Android সিকিউরিটি প্ল্যাটফর্ম সুরক্ষা এবং Google Play Protect সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google Play Protect প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে।

আমরা সমস্ত গ্রাহকদের তাদের ডিভাইসে এই আপডেটগুলি গ্রহণ করতে উত্সাহিত করি৷

দ্রষ্টব্য: সর্বশেষ ওভার-দ্য-এয়ার আপডেট (OTA) এবং Google ডিভাইসগুলির জন্য ফার্মওয়্যার চিত্রগুলির তথ্য Google ডিভাইস আপডেট বিভাগে উপলব্ধ।

ঘোষণা

  • এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তরের স্ট্রিং রয়েছে যা Android অংশীদারদের আরও দ্রুত দুর্বলতার একটি উপসেট ঠিক করার জন্য নমনীয়তা প্রদান করে যা সমস্ত Android ডিভাইসে একই রকম। অতিরিক্ত তথ্যের জন্য সাধারণ প্রশ্ন এবং উত্তর দেখুন:
    • 2017-09-01 : আংশিক নিরাপত্তা প্যাচ স্তরের স্ট্রিং। এই নিরাপত্তা প্যাচ স্তরের স্ট্রিংটি নির্দেশ করে যে 2017-09-01 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷
    • 2017-09-05 : সম্পূর্ণ নিরাপত্তা প্যাচ স্তরের স্ট্রিং। এই নিরাপত্তা প্যাচ স্তরের স্ট্রিংটি নির্দেশ করে যে 2017-09-01 এবং 2017-09-05 (এবং পূর্ববর্তী সমস্ত নিরাপত্তা প্যাচ স্তরের স্ট্রিং) এর সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করা হয়েছে৷

অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং পরিষেবা সুরক্ষা যেমন Google Play Protect দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android নিরাপত্তা দল সক্রিয়ভাবে Google Play Protect- এর মাধ্যমে অপব্যবহারের জন্য নজরদারি করে এবং ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে। Google Play Protect ডিফল্টরূপে Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে সক্রিয় থাকে এবং বিশেষত সেই ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপগুলি ইনস্টল করেন৷

2017-09-01 নিরাপত্তা প্যাচ লেভেল—ভালনারেবিলিটি বিশদ

নীচের বিভাগে, আমরা 2017-09-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাটির বর্ণনা এবং CVE, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) সহ একটি টেবিল রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা অতিরিক্ত অনুমতিগুলিতে অ্যাক্সেস পাওয়ার জন্য ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজনীয়তাগুলিকে বাইপাস করতে একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2017-0752 A-62196835 [ 2 ] ইওপি উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

লাইব্রেরি

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে দূরবর্তী আক্রমণকারীকে একটি সুবিধাহীন প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2017-0753 এ-62218744 আরসিই উচ্চ 7.1.1, 7.1.2, 8.0
CVE-2017-6983 এ-63852675 আরসিই উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0755 এ-32178311 ইওপি উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

মিডিয়া ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2017-0756 এ-34621073 আরসিই সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0757 A-36006815 আরসিই সমালোচনামূলক 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0758 A-36492741 আরসিই সমালোচনামূলক 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0759 এ-36715268 আরসিই সমালোচনামূলক 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0760 এ-37237396 আরসিই সমালোচনামূলক 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0761 এ-38448381 আরসিই সমালোচনামূলক 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0762 এ-62214264 আরসিই সমালোচনামূলক 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0763 এ-62534693 আরসিই সমালোচনামূলক 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0764 এ-62872015 আরসিই সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0765 এ-62872863 আরসিই সমালোচনামূলক 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0766 এ-37776688 আরসিই উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0767 A-37536407 [ 2 ] ইওপি উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0768 A-62019992 ইওপি উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0769 এ-37662122 ইওপি উচ্চ 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0770 এ-38234812 ইওপি উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0771 এ-37624243 DoS উচ্চ 7.0, 7.1.1, 7.1.2
CVE-2017-0772 এ-38115076 DoS উচ্চ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0773 এ-37615911 DoS উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0774 A-62673844 [ 2 ] DoS উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0775 এ-62673179 DoS উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0776 এ-38496660 আইডি পরিমিত 7.0, 7.1.1, 7.1.2, 8.0
DoS উচ্চ 6.0.1
CVE-2017-0777 এ-38342499 আইডি পরিমিত 7.0, 7.1.1, 7.1.2
DoS উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0778 এ-62133227 আইডি পরিমিত 7.0, 7.1.1, 7.1.2
DoS উচ্চ 5.0.2, 5.1.1, 6.0, 6.0.1
CVE-2017-0779 A-38340117 [ 2 ] আইডি পরিমিত 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

রানটাইম

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি অ্যাপ্লিকেশন হ্যাং করার জন্য একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2017-0780 এ-37742976 DoS উচ্চ 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

পদ্ধতি

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি প্রিভিলেজড প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য একটি প্রক্সিমেট আক্রমণকারীকে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2017-0781 A-63146105 [ 2 ] আরসিই সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0782 A-63146237 [ 2 ] [ 3 ] আরসিই সমালোচনামূলক 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0783 এ-63145701 আইডি উচ্চ 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0784 এ-37287958 ইওপি পরিমিত 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
CVE-2017-0785 এ-63146698 আইডি পরিমিত 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

2017-09-05 নিরাপত্তা প্যাচ লেভেল—ভালনারেবিলিটি বিশদ

নীচের বিভাগগুলিতে, আমরা 2017-09-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি সেই উপাদানগুলির অধীনে গোষ্ঠীভুক্ত করা হয় যা তারা প্রভাবিত করে এবং বিশদগুলি অন্তর্ভুক্ত করে যেমন CVE, সম্পর্কিত রেফারেন্স, দুর্বলতার ধরন , তীব্রতা , উপাদান (যেখানে প্রযোজ্য), এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য)। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

ব্রডকম উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি প্রক্সিমেট আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-11120 A-62575409 *
B-V2017061204
আরসিই সমালোচনামূলক ওয়াই-ফাই ড্রাইভার
CVE-2017-11121 A-62576413 *
B-V2017061205
আরসিই সমালোচনামূলক ওয়াই-ফাই ড্রাইভার
CVE-2017-7065 A-62575138 *
B-V2017061202
আরসিই সমালোচনামূলক ওয়াই-ফাই ড্রাইভার
CVE-2017-0786 A-37351060 *
B-V2017060101
ইওপি উচ্চ ওয়াই-ফাই ড্রাইভার
CVE-2017-0787 A-37722970 *
B-V2017053104
ইওপি পরিমিত ওয়াই-ফাই ড্রাইভার
CVE-2017-0788 A-37722328 *
B-V2017053103
ইওপি পরিমিত ওয়াই-ফাই ড্রাইভার
CVE-2017-0789 A-37685267 *
B-V2017053102
ইওপি পরিমিত ওয়াই-ফাই ড্রাইভার
CVE-2017-0790 A-37357704 *
B-V2017053101
ইওপি পরিমিত ওয়াই-ফাই ড্রাইভার
CVE-2017-0791 A-37306719 *
B-V2017052302
ইওপি পরিমিত ওয়াই-ফাই ড্রাইভার
CVE-2017-0792 A-37305578 *
B-V2017052301
আইডি পরিমিত ওয়াই-ফাই ড্রাইভার

Imgtk উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে তার অনুমতি স্তরের বাইরে ডেটা অ্যাক্সেস করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-0793 A-35764946 * আইডি উচ্চ মেমরি সাবসিস্টেম

কার্নেল উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-8890 এ-38413975
আপস্ট্রিম কার্নেল
আরসিই সমালোচনামূলক নেটওয়ার্কিং সাবসিস্টেম
CVE-2017-9076 এ-62299478
আপস্ট্রিম কার্নেল
ইওপি উচ্চ নেটওয়ার্কিং সাবসিস্টেম
CVE-2017-9150 এ-62199770
আপস্ট্রিম কার্নেল
আইডি উচ্চ লিনাক্স কার্নেল
CVE-2017-7487 এ-62070688
আপস্ট্রিম কার্নেল
ইওপি উচ্চ IPX প্রোটোকল ড্রাইভার
CVE-2017-6214 এ-37901268
আপস্ট্রিম কার্নেল
DoS উচ্চ নেটওয়ার্কিং সাবসিস্টেম
CVE-2017-6346 এ-37897645
আপস্ট্রিম কার্নেল
ইওপি উচ্চ লিনাক্স কার্নেল
CVE-2017-5897 এ-37871211
আপস্ট্রিম কার্নেল
আইডি উচ্চ নেটওয়ার্কিং সাবসিস্টেম
CVE-2017-7495 এ-62198330
আপস্ট্রিম কার্নেল
আইডি উচ্চ নথি ব্যবস্থা
CVE-2017-7616 এ-37751399
আপস্ট্রিম কার্নেল
আইডি পরিমিত লিনাক্স কার্নেল
CVE-2017-12146 এ-35676417
আপস্ট্রিম কার্নেল
ইওপি পরিমিত লিনাক্স কার্নেল
CVE-2017-0794 A-35644812 * ইওপি পরিমিত SCSI ড্রাইভার

মিডিয়াটেক উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি স্থানীয় দূষিত অ্যাপ্লিকেশনকে একটি বিশেষ সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড কার্যকর করতে সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-0795 A-36198473 *
M-ALPS03361480
ইওপি উচ্চ আনুষঙ্গিক আবিষ্কারক ড্রাইভার
CVE-2017-0796 A-62458865 *
M-ALPS03353884
M-ALPS03353886
M-ALPS03353887
ইওপি উচ্চ AUXADC ড্রাইভার
CVE-2017-0797 A-62459766 *
M-ALPS03353854
ইওপি উচ্চ আনুষঙ্গিক আবিষ্কারক ড্রাইভার
CVE-2017-0798 A-36100671 *
M-ALPS03365532
ইওপি উচ্চ কার্নেল
CVE-2017-0799 A-36731602 *
M-ALPS03342072
ইওপি উচ্চ লাস্টবাস
CVE-2017-0800 A-37683975 *
M-ALPS03302988
ইওপি উচ্চ TEEI
CVE-2017-0801 A-38447970 *
M-ALPS03337980
ইওপি উচ্চ LibMtkOmxVdec
CVE-2017-0802 A-36232120 *
M-ALPS03384818
ইওপি পরিমিত কার্নেল
CVE-2017-0803 A-36136137 *
M-ALPS03361477
ইওপি পরিমিত আনুষঙ্গিক আবিষ্কারক ড্রাইভার
CVE-2017-0804 A-36274676 *
M-ALPS03361487
ইওপি পরিমিত এমএমসি ড্রাইভার

কোয়ালকম উপাদান

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা একটি বিশেষভাবে তৈরি করা ফাইল ব্যবহার করে একটি দূরবর্তী আক্রমণকারীকে একটি সুবিধাপ্রাপ্ত প্রক্রিয়ার প্রেক্ষাপটে নির্বিচারে কোড চালানোর জন্য সক্ষম করতে পারে।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা উপাদান
CVE-2017-11041 A-36130225 *
QC-CR#2053101
আরসিই সমালোচনামূলক LibOmxVenc
CVE-2017-10996 এ-38198574
QC-CR#901529
আইডি উচ্চ লিনাক্স কার্নেল
CVE-2017-9725 এ-38195738
QC-CR#896659
ইওপি উচ্চ মেমরি সাবসিস্টেম
CVE-2017-9724 এ-38196929
QC-CR#863303
ইওপি উচ্চ লিনাক্স কার্নেল
CVE-2017-8278 এ-62379474
QC-CR#2013236
ইওপি উচ্চ অডিও ড্রাইভার
CVE-2017-10999 A-36490777 *
QC-CR#2010713
ইওপি পরিমিত আইপিএ ড্রাইভার
CVE-2017-11001 A-36815555 *
QC-CR#2051433
আইডি পরিমিত ওয়াই-ফাই ড্রাইভার
CVE-2017-11002 A-37712167 *
QC-CR#2058452 QC-CR#2054690 QC-CR#2058455
আইডি পরিমিত ওয়াই-ফাই ড্রাইভার
CVE-2017-8250 এ-62379051
QC-CR#2003924
ইওপি পরিমিত GPU ড্রাইভার
CVE-2017-9677 এ-62379475
QC-CR#2022953
ইওপি পরিমিত অডিও ড্রাইভার
CVE-2017-10998 এ-38195131
QC-CR#108461
ইওপি পরিমিত অডিও ড্রাইভার
CVE-2017-9676 এ-62378596
QC-CR#2016517
আইডি পরিমিত নথি ব্যবস্থা
CVE-2017-8280 এ-62377236
QC-CR#2015858
ইওপি পরিমিত WLAN ড্রাইভার
CVE-2017-8251 এ-62379525
QC-CR#2006015
ইওপি পরিমিত ক্যামেরা ড্রাইভার
CVE-2017-10997 A-33039685 *
QC-CR#1103077
ইওপি পরিমিত পিসিআই ড্রাইভার
CVE-2017-11000 A-36136563 *
QC-CR#2031677
ইওপি পরিমিত ক্যামেরা ড্রাইভার
CVE-2017-8247 এ-62378684
QC-CR#2023513
ইওপি পরিমিত ক্যামেরা ড্রাইভার
CVE-2017-9720 A-36264696 *
QC-CR#2041066
ইওপি পরিমিত ক্যামেরা ড্রাইভার
CVE-2017-8277 এ-62378788
QC-CR#2009047
ইওপি পরিমিত ভিডিও ড্রাইভার
CVE-2017-8281 এ-62378232
QC-CR#2015892
আইডি পরিমিত স্বয়ংচালিত মাল্টিমিডিয়া
CVE-2017-11040 A-37567102 *
QC-CR#2038166
আইডি পরিমিত ভিডিও ড্রাইভার

গুগল ডিভাইস আপডেট

এই টেবিলে লেটেস্ট ওভার-দ্য-এয়ার আপডেট (OTA) এবং Google ডিভাইসের জন্য ফার্মওয়্যার ইমেজের নিরাপত্তা প্যাচ লেভেল রয়েছে। Google ডিভাইস OTA-তে অতিরিক্ত আপডেট থাকতে পারে। Google ডিভাইসের ফার্মওয়্যারের ছবিগুলি Google ডেভেলপার সাইটে পাওয়া যায়।

গুগল ডিভাইস নিরাপত্তা প্যাচ স্তর
পিক্সেল/পিক্সেল এক্সএল 2017-09-05
Nexus 5X 2017-09-05
নেক্সাস 6 2017-09-05
Nexus 6P 2017-09-05
নেক্সাস 9 2017-09-05
নেক্সাস প্লেয়ার 2017-09-05
পিক্সেল সি 2017-09-05

স্বীকৃতি

আমরা এই গবেষকদের তাদের অবদানের জন্য ধন্যবাদ জানাতে চাই:

সিভিই গবেষকরা
CVE-2017-11000 আলিবাবা মোবাইল সিকিউরিটি গ্রুপের বাওজেং ডিং ( @স্প্লোভিং ), চেংমিং ইয়াং এবং ইয়াং গান
CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785 আর্মিস, ইনকর্পোরেটেডের বেন সেরি এবং গ্রেগরি ভিশনপলস্কি ( https://armis.com )
CVE-2017-0800, CVE-2017-0798 আলিবাবা মোবাইল সিকিউরিটি গ্রুপের চেংমিং ইয়াং, বাওজেং ডিং এবং ইয়াং গান
CVE-2017-0765 চি ঝাং , মিংজিয়ান ঝৌ ( @মিংজিয়ান_ঝৌ ), এবং সি0 আরই টিমের জুক্সিয়ান জিয়াং
CVE-2017-0758 Chong Wang এবং 金哲 (Zhe Jin), Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.
CVE-2017-0752 কং ঝেং ( @শেলকং ), ওয়েনজুন হু, জিয়াও ঝাং, এবং পালো অল্টো নেটওয়ার্কের ঝি জু
CVE-2017-0801 দাচেং শাও , মিংজিয়ান ঝৌ ( @মিংজিয়ান_ঝৌ ), এবং সি0 আরই টিমের জুক্সিয়ান জিয়াং
CVE-2017-0755 আলিবাবা মোবাইল সিকিউরিটি টিমের দাউই পেং ( weibo: Vinc3nt4H )
CVE-2017-0775, CVE-2017-0774, CVE-2017-0771 আলফা টিমের এলফেট এবং গং গুয়াং, কিহু 360 প্রযুক্তি কোং লিমিটেড।
CVE-2017-0784 En He ( @heeeeen4x ) এবং MS509 টিমের বো লিউ
CVE-2017-10997 Gengjia Chen ( @chengjia4574 ) এবং IceSword Lab এর pjf , Qihoo 360 Technology Co. Ltd.
CVE-2017-0786, CVE-2017-0792, CVE-2017-0791, CVE-2017-0790, CVE-2017-0789, CVE-2017-0788, CVE-2017-0787 আলফা টিমের হাও চেন এবং গুয়াং গং, কিহু 360 প্রযুক্তি কোং লিমিটেড।
CVE-2017-0802 শেলফিশ গ্রিল টিমের জেক করিনা ( @জেককোরিনা )
CVE-2017-0780 ট্রেন্ড মাইক্রোর জেসন গু এবং সেভেন শেন
CVE-2017-0769 C0RE টিমের মিংজিয়ান ঝো ( @Mingjian_Zhou ), দাচেং শাও , এবং Xuxian জিয়াং
CVE-2017-0794, CVE-2017-9720, CVE-2017-11001, CVE-2017-10999, CVE-2017-0766 পেংফেই ডিং (丁鹏飞), চেনফু বাও (包沉浮), বাইদু এক্স-ল্যাবের লেনক্স ওয়েই (韦韬) (百度安全实验室)
CVE-2017-0772 ট্রেন্ড মাইক্রোর সেভেন শেন
CVE-2017-0757 ভ্যাসিলি ভ্যাসিলিভ
CVE-2017-0768, CVE-2017-0779 ওয়েনকে ডু , মিংজিয়ান ঝৌ ( @মিংজিয়ান_ঝৌ ) এবং C0RE টিমের জুক্সিয়ান জিয়াং
CVE-2017-0759 আলিবাবা ইনকর্পোরেটেডের উইচাও সান
CVE-2017-0796 আলিবাবা মোবাইল সিকিউরিটি গ্রুপের জিয়াংকিয়ান ঝাং, চেংমিং ইয়াং, বাওজেং ডিং এবং ইয়াং গান
CVE-2017-0753 Qihoo360 Qex টিমের ইয়াংকাং ( @dnpushme ) এবং হুজিয়ানফেই
CVE-2017-12146 IceSword Lab এর Yonggang Guo ( @guoygang ), Qihoo 360 Technology Co. Ltd.
CVE-2017-0767 ইয়ংকে ওয়াং এবং টেনসেন্টের জুয়ানউ ল্যাবের ইউয়েবিন সান
CVE-2017-0804, CVE-2017-0803, CVE-2017-0799, CVE-2017-0795 Vulpecker টিমের Yu Pan এবং Yang Dai , Qihoo 360 Technology Co. Ltd
CVE-2017-0760 চেংদু সিকিউরিটি রেসপন্স সেন্টারের জিনুও হান এবং 金哲 (ঝে জিন), কিহু 360 টেকনোলজি কোং লিমিটেড।
CVE-2017-0764, CVE-2017-0761, CVE-2017-0776, CVE-2017-0777, CVE-2017-0778 চেংডু সিকিউরিটি রেসপন্স সেন্টারের জিনু হান , কিহু 360 টেকনোলজি কোং লিমিটেড।

সাধারণ প্রশ্ন এবং উত্তর

এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

কিভাবে একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর চেক করতে হয় তা জানতে, Pixel এবং Nexus আপডেট শিডিউলের নির্দেশাবলী পড়ুন।

  • 2017-09-01 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2017-09-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।
  • 2017-09-05 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2017-09-05 নিরাপত্তা প্যাচ স্তর এবং পূর্ববর্তী সমস্ত প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করে।

এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:

  • [ro.build.version.security_patch]:[2017-09-01]
  • [ro.build.version.security_patch]:[2017-09-05]

2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?

এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷

  • 2017-09-01 নিরাপত্তা প্যাচ স্তর ব্যবহার করে এমন ডিভাইসগুলিতে সেই নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত করতে হবে।
  • যে ডিভাইসগুলি 2017-09-05 বা নতুনের নিরাপত্তা প্যাচ স্তর ব্যবহার করে সেগুলিকে অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।

অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷

3. টাইপ কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ টেবিলের টাইপ কলামের এন্ট্রি নিরাপত্তা দুর্বলতার শ্রেণীবিভাগ উল্লেখ করে।

সংক্ষিপ্ত রূপ সংজ্ঞা
আরসিই রিমোট কোড এক্সিকিউশন
ইওপি বিশেষাধিকারের উচ্চতা
আইডি তথ্য প্রকাশ
DoS সেবা দিতে অস্বীকার করা
N/A শ্রেণীবিভাগ উপলব্ধ নয়

4. রেফারেন্স কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে।

উপসর্গ রেফারেন্স
ক- অ্যান্ড্রয়েড বাগ আইডি
QC- কোয়ালকম রেফারেন্স নম্বর
এম- মিডিয়াটেক রেফারেন্স নম্বর
এন- NVIDIA রেফারেন্স নম্বর
খ- ব্রডকম রেফারেন্স নম্বর

5. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে * এর অর্থ কী?

যে সমস্যাগুলি সর্বজনীনভাবে উপলব্ধ নয় সেগুলির রেফারেন্স কলামে Android বাগ আইডির পাশে একটি * থাকে৷ এই সমস্যার জন্য আপডেটটি সাধারণত Google বিকাশকারী সাইট থেকে উপলব্ধ Nexus ডিভাইসগুলির জন্য সর্বশেষ বাইনারি ড্রাইভারগুলিতে থাকে৷

সংস্করণ

সংস্করণ তারিখ মন্তব্য
1.0 5 সেপ্টেম্বর, 2017 বুলেটিন প্রকাশিত হয়েছে।
1.1 সেপ্টেম্বর 12, 2017 শিল্প-সমন্বিত প্রকাশের অংশ হিসাবে CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, এবং CVE-2017-0785-এর বিবরণ যোগ করা হয়েছে।
1.2 13 সেপ্টেম্বর, 2017 AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে।
1.3 25 সেপ্টেম্বর, 2017 শিল্প-সমন্বিত প্রকাশের অংশ হিসাবে CVE-2017-11120 এবং CVE-2017-11121-এর বিবরণ যোগ করা হয়েছে।
1.4 সেপ্টেম্বর 28, 2017 CVE-2017-11001-এর জন্য বিক্রেতার রেফারেন্স আপডেট করুন।