অ্যান্ড্রয়েড নিরাপত্তা বুলেটিন—জুলাই ২০২৩

5 জুলাই, 2023 প্রকাশিত | 10 জুলাই, 2023 আপডেট করা হয়েছে

অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন নিরাপত্তা দুর্বলতার বিবরণ রয়েছে৷ 2023-07-05 বা তার পরের নিরাপত্তা প্যাচ স্তরগুলি এই সমস্ত সমস্যার সমাধান করে। একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।

অ্যান্ড্রয়েড অংশীদারদের প্রকাশনার অন্তত এক মাস আগে সমস্ত সমস্যা সম্পর্কে অবহিত করা হয়। এই সমস্যাগুলির জন্য সোর্স কোড প্যাচগুলি অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট (AOSP) সংগ্রহস্থলে প্রকাশ করা হয়েছে এবং এই বুলেটিন থেকে লিঙ্ক করা হয়েছে৷ এই বুলেটিনে AOSP-এর বাইরের প্যাচগুলির লিঙ্কও রয়েছে৷

এই সমস্যাগুলির মধ্যে সবচেয়ে গুরুতর হল সিস্টেম কম্পোনেন্টে একটি গুরুতর নিরাপত্তা দুর্বলতা যা রিমোট কোড এক্সিকিউশনের দিকে নিয়ে যেতে পারে যার জন্য অতিরিক্ত এক্সিকিউশন সুবিধার প্রয়োজন নেই। শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না। প্ল্যাটফর্ম এবং পরিষেবা প্রশমনগুলি উন্নয়নের উদ্দেশ্যে বন্ধ করা হয়েছে বা সফলভাবে বাইপাস করা হয়েছে বলে ধরে নিয়ে দুর্বলতাকে কাজে লাগানোর প্রভাবের উপর ভিত্তি করে তীব্রতা মূল্যায়ন করা হয়।

Android সিকিউরিটি প্ল্যাটফর্ম সুরক্ষা এবং Google Play Protect সম্পর্কে বিশদ বিবরণের জন্য Android এবং Google Play Protect প্রশমন বিভাগটি পড়ুন, যা Android প্ল্যাটফর্মের নিরাপত্তা উন্নত করে।

অ্যান্ড্রয়েড এবং গুগল পরিষেবা প্রশমন

এটি Android নিরাপত্তা প্ল্যাটফর্ম এবং পরিষেবা সুরক্ষা যেমন Google Play Protect দ্বারা প্রদত্ত প্রশমনের একটি সারাংশ। এই ক্ষমতাগুলি Android-এ নিরাপত্তার দুর্বলতাগুলি সফলভাবে কাজে লাগানোর সম্ভাবনা কমিয়ে দেয়৷

  • অ্যান্ড্রয়েড প্ল্যাটফর্মের নতুন সংস্করণে বর্ধিতকরণের মাধ্যমে অ্যান্ড্রয়েডে অনেক সমস্যার জন্য শোষণকে আরও কঠিন করা হয়েছে। আমরা সকল ব্যবহারকারীকে যেখানে সম্ভব Android এর সর্বশেষ সংস্করণে আপডেট করতে উৎসাহিত করি।
  • Android নিরাপত্তা দল সক্রিয়ভাবে Google Play Protect-এর মাধ্যমে অপব্যবহারের জন্য নজরদারি করে এবং ব্যবহারকারীদের সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন সম্পর্কে সতর্ক করে। Google Play Protect ডিফল্টরূপে Google মোবাইল পরিষেবাগুলির সাথে ডিভাইসগুলিতে সক্রিয় থাকে এবং বিশেষত সেই ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ যারা Google Play এর বাইরে থেকে অ্যাপগুলি ইনস্টল করেন৷

2023-07-01 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নীচের বিভাগে, আমরা 2023-07-01 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাগুলি নীচের সারণীতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়। Android 10 এবং তার পরের ডিভাইসগুলি নিরাপত্তা আপডেটের পাশাপাশি Google Play সিস্টেম আপডেট পেতে পারে।

ফ্রেমওয়ার্ক

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা বিশেষাধিকারের সম্ভাব্য উচ্চতাকে অনুমতি দিতে পারে একজন বিভ্রান্ত ডেপুটি কারণে অতিরিক্ত মৃত্যুদন্ডের সুবিধার প্রয়োজন নেই। শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2023-20918 A-243794108 [ 2 ] [ 3 ] ইওপি উচ্চ 11, 12, 12L, 13
CVE-2023-20942 A-258021433 [ 2 ] [ 3 ] ইওপি উচ্চ 12, 12L, 13
CVE-2023-21145 এ-265293293 ইওপি উচ্চ 11, 12, 12L, 13
CVE-2023-21251 এ-204554636 ইওপি উচ্চ 11, 12, 12L, 13
CVE-2023-21254 এ-254736794 ইওপি উচ্চ 13
CVE-2023-21257 এ-257443065 ইওপি উচ্চ 13
CVE-2023-21262 এ-279905816 ইওপি উচ্চ 12, 12L, 13
CVE-2023-21238 এ-277740848 আইডি উচ্চ 11, 12, 12L, 13
CVE-2023-21239 এ-274592467 আইডি উচ্চ 12, 12L, 13
CVE-2023-21249 এ-217981062 আইডি উচ্চ 13
CVE-2023-21087 এ-261723753 DoS উচ্চ 11, 12, 12L, 13

পদ্ধতি

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা কোন অতিরিক্ত মৃত্যুদন্ড বিশেষাধিকার প্রয়োজন ছাড়া দূরবর্তী কোড নির্বাহ হতে পারে. শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা AOSP সংস্করণ আপডেট করা হয়েছে
CVE-2023-21250 এ-261068592 আরসিই সমালোচনামূলক 11, 12, 12L, 13
CVE-2023-2136 এ-278113033 আরসিই উচ্চ 13
CVE-2023-21241 এ-271849189 ইওপি উচ্চ 11, 12, 12L, 13
CVE-2023-21246 এ-273729476 ইওপি উচ্চ 11, 12, 12L, 13
CVE-2023-21247 এ-277333781 ইওপি উচ্চ 12, 12L, 13
CVE-2023-21248 এ-277333746 ইওপি উচ্চ 12, 12L, 13
CVE-2023-21256 এ-268193384 ইওপি উচ্চ 13
CVE-2022-27405, CVE-2022-27406 এ-271680254 আইডি উচ্চ 11, 12, 12L, 13
CVE-2023-20910 A-245299920 [ 2 ] DoS উচ্চ 11, 12, 12L, 13
CVE-2023-21240 এ-275340417 DoS উচ্চ 11, 12, 12L, 13
CVE-2023-21243 এ-274445194 DoS উচ্চ 11, 12, 12L, 13

গুগল প্লে সিস্টেম আপডেট

নিম্নলিখিত সমস্যাগুলি প্রজেক্ট মেইনলাইন উপাদানগুলিতে অন্তর্ভুক্ত করা হয়েছে।

সাবকম্পোনেন্ট সিভিই
ওয়াইফাই CVE-2023-20910, CVE-2023-21240, CVE-2023-21243

2023-07-05 নিরাপত্তা প্যাচ স্তরের দুর্বলতার বিবরণ

নীচের বিভাগগুলিতে, আমরা 2023-07-05 প্যাচ স্তরে প্রযোজ্য প্রতিটি নিরাপত্তা দুর্বলতার জন্য বিশদ প্রদান করি। দুর্বলতাগুলি যে উপাদানগুলিকে প্রভাবিত করে তার অধীনে গোষ্ঠীভুক্ত করা হয়। সমস্যাগুলি নীচের সারণীতে বর্ণনা করা হয়েছে এবং এতে CVE ID, সংশ্লিষ্ট রেফারেন্স, দুর্বলতার ধরন , তীব্রতা এবং আপডেট করা AOSP সংস্করণ (যেখানে প্রযোজ্য) অন্তর্ভুক্ত রয়েছে। উপলব্ধ হলে, আমরা AOSP পরিবর্তনের তালিকার মতো বাগ আইডিতে সমস্যাটির সমাধানকারী সর্বজনীন পরিবর্তনকে লিঙ্ক করি। যখন একাধিক পরিবর্তন একটি একক বাগের সাথে সম্পর্কিত হয়, তখন বাগ আইডি অনুসরণকারী সংখ্যার সাথে অতিরিক্ত উল্লেখ সংযুক্ত করা হয়।

কার্নেল

এই বিভাগে সবচেয়ে গুরুতর দুর্বলতা কার্নেলে বিশেষাধিকারের স্থানীয় বৃদ্ধির দিকে নিয়ে যেতে পারে যার কোনো অতিরিক্ত এক্সিকিউশন সুবিধার প্রয়োজন নেই। শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা সাবকম্পোনেন্ট
CVE-2022-42703 এ-253167854
আপস্ট্রিম কার্নেল
ইওপি উচ্চ স্মৃতি ব্যবস্থাপনা
CVE-2023-21255 এ-275041864
আপস্ট্রিম কার্নেল
ইওপি উচ্চ বাইন্ডার

কার্নেল উপাদান

এই বিভাগে দুর্বলতা বিশেষাধিকারের স্থানীয় বৃদ্ধির দিকে নিয়ে যেতে পারে যাতে কোনো অতিরিক্ত কার্যকরী সুবিধার প্রয়োজন হয় না। শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না।

সিভিই তথ্যসূত্র টাইপ নির্দয়তা সাবকম্পোনেন্ট
CVE-2023-25012 এ-268589017
আপস্ট্রিম কার্নেল [ 2 ] [ 3 ] [ 4 ]
ইওপি উচ্চ HID

আর্ম উপাদান

এই দুর্বলতাগুলি আর্ম উপাদানগুলিকে প্রভাবিত করে এবং আরও বিশদ সরাসরি আর্ম থেকে পাওয়া যায়। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি আর্ম দ্বারা সরবরাহ করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা সাবকম্পোনেন্ট
CVE-2021-29256 A-283489460 * উচ্চ মালি
CVE-2022-28350 A-226921651 * উচ্চ মালি
CVE-2023-28147 A-274005916 * উচ্চ মালি
CVE-2023-26083 A-272073598 * পরিমিত মালি

ইমাজিনেশন টেকনোলজিস

এই দুর্বলতা ইমাজিনেশন টেকনোলজির উপাদানগুলিকে প্রভাবিত করে এবং ইমাজিনেশন টেকনোলজিস থেকে আরও বিশদ সরাসরি পাওয়া যায়। এই সমস্যাটির তীব্রতার মূল্যায়ন ইমাজিনেশন টেকনোলজিস দ্বারা সরাসরি প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা সাবকম্পোনেন্ট
CVE-2021-0948 A-281905774 * উচ্চ পাওয়ারভিআর-জিপিইউ

মিডিয়াটেক উপাদান

এই দুর্বলতাগুলি MediaTek উপাদানগুলিকে প্রভাবিত করে এবং আরও বিশদ সরাসরি MediaTek থেকে পাওয়া যায়। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি MediaTek দ্বারা সরবরাহ করা হয়৷

সিভিই তথ্যসূত্র নির্দয়তা সাবকম্পোনেন্ট
CVE-2023-20754 এ-280380543
M-ALPS07563028 *
উচ্চ কী-ইন্সটল
CVE-2023-20755 এ-280374982
M-ALPS07510064 *
উচ্চ কী-ইন্সটল

কোয়ালকম উপাদান

এই দুর্বলতাগুলি Qualcomm উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা সাবকম্পোনেন্ট
CVE-2023-21672 এ-276751075
QC-CR#3313322
উচ্চ শ্রুতি
CVE-2023-22386 এ-276750584
QC-CR#3355665 [ 2 ]
উচ্চ WLAN
CVE-2023-22387 এ-276750306
QC-CR#3356023 [ 2 ] [ 3 ] [ 4 ]
উচ্চ কার্নেল
CVE-2023-24851 এ-276751076
QC-CR#3359589 [ 2 ] [ 3 ]
উচ্চ WLAN
CVE-2023-24854 এ-276750639
QC-CR#3366343 [ 2 ]
উচ্চ WLAN
CVE-2023-28541 এ-276750665
QC-CR#3144133
উচ্চ WLAN
CVE-2023-28542 এ-276750246
QC-CR#3104318
উচ্চ WLAN

কোয়ালকম ক্লোজড সোর্স উপাদান

এই দুর্বলতাগুলি Qualcomm ক্লোজড-সোর্স উপাদানগুলিকে প্রভাবিত করে এবং উপযুক্ত Qualcomm নিরাপত্তা বুলেটিনে বা নিরাপত্তা সতর্কতায় আরও বিস্তারিতভাবে বর্ণনা করা হয়েছে। এই সমস্যাগুলির তীব্রতা মূল্যায়ন সরাসরি Qualcomm দ্বারা প্রদান করা হয়।

সিভিই তথ্যসূত্র নির্দয়তা সাবকম্পোনেন্ট
CVE-2023-21629 A-264414032 * সমালোচনামূলক ক্লোজড সোর্স কম্পোনেন্ট
CVE-2023-21631 A-264415234 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট
CVE-2023-22667 A-276750583 * উচ্চ ক্লোজড সোর্স কম্পোনেন্ট

সাধারণ প্রশ্ন এবং উত্তর

এই বিভাগটি সাধারণ প্রশ্নের উত্তর দেয় যা এই বুলেটিন পড়ার পরে হতে পারে।

1. এই সমস্যাগুলি সমাধান করার জন্য আমার ডিভাইস আপডেট করা হয়েছে কিনা তা আমি কীভাবে নির্ধারণ করব?

একটি ডিভাইসের নিরাপত্তা প্যাচ স্তর কিভাবে পরীক্ষা করতে হয় তা জানতে, আপনার Android সংস্করণ চেক এবং আপডেট দেখুন।

  • 2023-07-01 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2023-07-01 নিরাপত্তা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যার সমাধান করে।
  • 2023-07-05 এর নিরাপত্তা প্যাচ স্তর বা তার পরে 2023-07-05 নিরাপত্তা প্যাচ স্তর এবং পূর্ববর্তী সমস্ত প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা সমাধান করে।

এই আপডেটগুলি অন্তর্ভুক্ত করে এমন ডিভাইস নির্মাতাদের প্যাচ স্ট্রিং স্তর সেট করা উচিত:

  • [ro.build.version.security_patch]:[2023-07-01]
  • [ro.build.version.security_patch]:[2023-07-05]

Android 10 বা তার পরবর্তী কিছু ডিভাইসের জন্য, Google Play সিস্টেম আপডেটে একটি তারিখের স্ট্রিং থাকবে যা 2023-07-01 নিরাপত্তা প্যাচ স্তরের সাথে মেলে। নিরাপত্তা আপডেট কিভাবে ইনস্টল করতে হয় সে সম্পর্কে আরো বিস্তারিত জানার জন্য অনুগ্রহ করে এই নিবন্ধটি দেখুন।

2. কেন এই বুলেটিন দুটি নিরাপত্তা প্যাচ স্তর আছে?

এই বুলেটিনে দুটি নিরাপত্তা প্যাচ স্তর রয়েছে যাতে Android অংশীদারদের দুর্বলতাগুলির একটি উপসেটকে আরও দ্রুত ঠিক করার নমনীয়তা থাকে যা সমস্ত Android ডিভাইসে একই রকম। Android অংশীদারদের এই বুলেটিনে সমস্ত সমস্যা সমাধান করতে এবং সর্বশেষ নিরাপত্তা প্যাচ স্তর ব্যবহার করতে উত্সাহিত করা হয়৷

  • যে ডিভাইসগুলি 2023-07-01 সুরক্ষা প্যাচ স্তর ব্যবহার করে সেগুলি অবশ্যই সেই সুরক্ষা প্যাচ স্তরের সাথে সম্পর্কিত সমস্ত সমস্যা এবং সেইসাথে পূর্ববর্তী নিরাপত্তা বুলেটিনে রিপোর্ট করা সমস্ত সমস্যার সমাধান অন্তর্ভুক্ত করতে হবে।
  • যে ডিভাইসগুলি 2023-07-05-এর নিরাপত্তা প্যাচ স্তর ব্যবহার করে বা নতুন তাদের অবশ্যই এই (এবং পূর্ববর্তী) নিরাপত্তা বুলেটিনে সমস্ত প্রযোজ্য প্যাচ অন্তর্ভুক্ত করতে হবে।

অংশীদারদের একটি একক আপডেটে তারা যে সমস্ত সমস্যার সমাধান করছে সেগুলিকে বান্ডিল করতে উত্সাহিত করা হয়৷

3. টাইপ কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ টেবিলের টাইপ কলামের এন্ট্রি নিরাপত্তা দুর্বলতার শ্রেণীবিভাগ উল্লেখ করে।

সংক্ষিপ্ত রূপ সংজ্ঞা
আরসিই রিমোট কোড এক্সিকিউশন
ইওপি বিশেষাধিকারের উচ্চতা
আইডি তথ্য প্রকাশ
DoS সেবা দিতে অস্বীকার করা
N/A শ্রেণীবিভাগ উপলব্ধ নয়

4. রেফারেন্স কলামের এন্ট্রিগুলির অর্থ কী?

দুর্বলতার বিবরণ সারণীর রেফারেন্স কলামের অধীনে এন্ট্রিতে একটি উপসর্গ থাকতে পারে যে সংস্থার রেফারেন্স মানটি চিহ্নিত করে।

উপসর্গ রেফারেন্স
ক- অ্যান্ড্রয়েড বাগ আইডি
QC- কোয়ালকম রেফারেন্স নম্বর
এম- মিডিয়াটেক রেফারেন্স নম্বর
এন- NVIDIA রেফারেন্স নম্বর
খ- ব্রডকম রেফারেন্স নম্বর
উ- UNISOC রেফারেন্স নম্বর

5. রেফারেন্স কলামে অ্যান্ড্রয়েড বাগ আইডির পাশে একটি * বলতে কী বোঝায়?

যে সমস্যাগুলি সর্বজনীনভাবে উপলব্ধ নয় সেগুলির সংশ্লিষ্ট রেফারেন্স আইডির পাশে একটি * থাকে৷ এই সমস্যার জন্য আপডেটটি সাধারণত Google ডেভেলপার সাইট থেকে উপলব্ধ Pixel ডিভাইসগুলির জন্য সাম্প্রতিক বাইনারি ড্রাইভারগুলিতে থাকে৷

6. কেন এই বুলেটিন এবং ডিভাইস/পার্টনার সিকিউরিটি বুলেটিন, যেমন পিক্সেল বুলেটিন এর মধ্যে নিরাপত্তা দুর্বলতা বিভক্ত?

এই নিরাপত্তা বুলেটিনে নথিভুক্ত নিরাপত্তা দুর্বলতাগুলিকে Android ডিভাইসে সর্বশেষ নিরাপত্তা প্যাচ স্তর ঘোষণা করতে হবে। নিরাপত্তা প্যাচ স্তর ঘোষণা করার জন্য ডিভাইস / অংশীদার নিরাপত্তা বুলেটিনগুলিতে নথিভুক্ত অতিরিক্ত নিরাপত্তা দুর্বলতাগুলির প্রয়োজন নেই৷ অ্যান্ড্রয়েড ডিভাইস এবং চিপসেট নির্মাতারাও তাদের পণ্যগুলির জন্য নির্দিষ্ট নিরাপত্তা দুর্বলতার বিবরণ প্রকাশ করতে পারে, যেমন Google , Huawei , LGE , Motorola , Nokia , বা Samsung

সংস্করণ

সংস্করণ তারিখ মন্তব্য
1.0 5 জুলাই, 2023 বুলেটিন প্রকাশিত হয়েছে
1.1 10 জুলাই, 2023 AOSP লিঙ্কগুলি অন্তর্ভুক্ত করার জন্য বুলেটিন সংশোধন করা হয়েছে
1.2 জুলাই 26, 2023 সংশোধিত CVE তালিকা
2.0 9 আগস্ট, 2023 সংশোধিত CVE তালিকা