Google সক্রিয়ভাবে শোষিত অ্যান্ড্রয়েড কার্নেলের দুর্বলতা ঠিক করে

  • প্রধান
  • খবর
  • Google সক্রিয়ভাবে শোষিত অ্যান্ড্রয়েড কার্নেলের দুর্বলতা ঠিক করে

গুগল মে অ্যান্ড্রয়েড সিকিউরিটি প্যাচের দ্বিতীয় অংশটি প্রকাশ করেছে, যার মধ্যে একটি সক্রিয়ভাবে শোষিত লিনাক্স কার্নেলের দুর্বলতার সমাধান রয়েছে।

ত্রুটিটি, CVE-2021-22600 হিসাবে ট্র্যাক করা, লিনাক্স কার্নেলের একটি বিশেষাধিকার বৃদ্ধির বাগ যা হুমকি অভিনেতারা স্থানীয় অ্যাক্সেসের মাধ্যমে শোষণ করতে পারে। যেহেতু অ্যান্ড্রয়েড একটি পরিবর্তিত লিনাক্স কার্নেল ব্যবহার করে, তাই দুর্বলতা অপারেটিং সিস্টেমকেও প্রভাবিত করে।

গুগল গবেষকরা জানুয়ারিতে লিনাক্সের দুর্বলতা প্রকাশ করেছিলেন এবং একটি ফিক্সও চালু করেছিলেন যা লিনাক্স বিক্রেতাদের কাছে দায়িত্বের সাথে প্রকাশ করা হয়েছিল। তবে গুগলের নিজস্ব অ্যান্ড্রয়েড অপারেটিং সিস্টেমে এই দুর্বলতা ঠিক করতে কয়েক মাস সময় লেগেছে।

এপ্রিল মাসে, CISA প্রকাশ করেছে যে এই দুর্বলতা সক্রিয়ভাবে আক্রমণে কাজে লাগানো হচ্ছে এবং এটিকে এর 'ক্যাটালগ অফ নোন এক্সপ্লয়েটেড ভালনারেবিলিটিস'-এ যুক্ত করেছে। মে অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে, Google নিশ্চিত করেছে যে 'CVE-2021-22600 সীমিত এবং লক্ষ্যবস্তু শোষণের অধীনে থাকতে পারে'।

আক্রমণে কীভাবে দুর্বলতা ব্যবহার করা হয় তা স্পষ্ট নয়, তবে এটি বিশেষাধিকারপ্রাপ্ত কমান্ডগুলি কার্যকর করতে এবং কর্পোরেট নেটওয়ার্কগুলিতে লিনাক্স সিস্টেমের মাধ্যমে পার্শ্ববর্তীভাবে ছড়িয়ে দেওয়ার জন্য ব্যবহার করা হতে পারে।

অ্যান্ড্রয়েডের সাম্প্রতিক সংস্করণগুলি (10, 11, 12) ক্রমবর্ধমান কঠোর অনুমতিগুলিতে তৈরি হয়েছে, যা ম্যালওয়ারের জন্য উন্নত বৈশিষ্ট্যগুলির জন্য প্রয়োজনীয় অনুমতিগুলি অর্জন করা কঠিন করে তুলেছে৷ যেমন, উচ্চতর সুযোগ-সুবিধা পাওয়ার জন্য সংক্রমণ-পরবর্তী ত্রুটিগুলিকে কাজে লাগানোর সম্ভাবনা নেই।

এই দুর্বলতার দ্বিতীয় সম্ভাব্য ব্যবহার হল ডিভাইস রুট করার টুল যা ব্যবহারকারীরা ডিভাইসে রুট সুবিধা পাওয়ার জন্য ইনস্টল এবং সক্রিয় করে।

এই মাসে আর কি স্থির করা হয়েছে তার একটি সারসংক্ষেপ এখানে:

  • অ্যান্ড্রয়েড ফ্রেমওয়ার্কের চারটি এসকেলেশন অফ প্রিভিলেজ (ইওপি) এবং ওয়ান ইনফরমেশন ডিসক্লোজার (আইডি) ত্রুটি
  • অ্যান্ড্রয়েড সিস্টেমে তিনটি ইওপি ব্যর্থতা, দুটি আইডি ব্যর্থতা এবং দুটি ডিনায়াল অফ সার্ভিস (ডিওএস) ব্যর্থতা
  • কার্নেলের উপাদানগুলিতে তিনটি ইওপি এবং একটি আইডি ব্যর্থতা৷
  • মিডিয়াটেক উপাদানে তিনটি উচ্চ-তীব্রতার দুর্বলতা
  • 15টি উচ্চ তীব্রতা এবং কোয়ালকম উপাদানগুলিতে একটি গুরুতর তীব্রতা ত্রুটি৷

মনে রাখবেন যে CVE-2021-22600-এর ফিক্স এবং তৃতীয় পক্ষের বিক্রেতাদের সমস্ত ফিক্স নিরাপত্তা প্যাচ লেভেল 2022-05-05-এ উপলব্ধ, 1 মে, 2020-এ প্রকাশিত প্রথম নিরাপত্তা প্যাচ স্তর নয়। 2022।

নির্বিশেষে, এই সমস্ত সংশোধনগুলি এখনও পরের মাসের প্রথম নিরাপত্তা প্যাচ স্তরে অন্তর্ভুক্ত করা হয়েছে, যা 1 জুন, 2022-এ প্রকাশিত হবে৷

আপনি যদি Android 9 বা তার আগে ব্যবহার করেন, তাহলে এই নিরাপত্তা প্যাচ আপনার ডিভাইসে প্রযোজ্য হবে না এবং নিরাপত্তার কারণে আপনাকে অবশ্যই Android OS-এর একটি নতুন সংস্করণে আপডেট করতে হবে।

যারা Google Pixel ডিভাইস ব্যবহার করছেন তারা এই মাসে অতিরিক্ত ফিক্স পেয়েছেন, তাদের মধ্যে একটি শুধুমাত্র সর্বশেষ Pixel 6 Pro রেঞ্জকে প্রভাবিত করে যা Titan-M চিপ ব্যবহার করে।

সবচেয়ে আকর্ষণীয় দুটি হল CVE-2022-20120, বুট লোডারকে প্রভাবিত করে একটি জটিল রিমোট এক্সিকিউশন দুর্বলতা এবং CVE-2022-20117, টাইটান-এম-এর একটি গুরুত্বপূর্ণ তথ্য প্রকাশের বাগ।

আপনি কি মনে করেন?