বাড়ি Securitywatch মাইক্রোসফ্ট মঙ্গলবার নভেম্বরের প্যাচে শূন্য-দিন স্থির করে

মাইক্রোসফ্ট মঙ্গলবার নভেম্বরের প্যাচে শূন্য-দিন স্থির করে

ভিডিও: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (নভেম্বর 2024)

ভিডিও: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (নভেম্বর 2024)
Anonim

মাইক্রোসফ্ট নভেম্বরের প্যাচ মঙ্গলবার প্রকাশের জন্য আটটি বুলেটিন ঘোষণা করেছিল, ইন্টারনেট এক্সপ্লোরার, হাইপার-ভি, গ্রাফিক্স ডিভাইস ইন্টারফেস (জিডিআই), অফিস এবং অন্যান্য সহ মাইক্রোসফ্ট সফটওয়্যারগুলিতে 19 টি অনন্য দুর্বলতার কথা সম্বোধন করে। ইন্টারনেট এক্সপ্লোরারে শূন্য দিনের দুর্বলতা উইকএন্ডে ফায়ারই প্রকাশ করেছে by

পরামর্শগুলির মধ্যে তিনটি অত্যন্ত সমালোচিত প্যাচ হ'ল ইন্টারেন্ট এক্সপ্লোরার প্যাচ (এমএস 13-088), জিডিআই (এমএস 13-089), এবং অ্যাক্টিভ এক্স নিয়ন্ত্রণে শূন্য দিনের ত্রুটি যা ইন্টারনেট এক্সপ্লোরার (এমএস 13-090) এর বেশ কয়েকটি সংস্করণকে প্রভাবিত করেছে, সুরক্ষা বিশেষজ্ঞরা ড।

"বুলেটিন এমএস ১৩-০৯০ বর্তমানে অ্যাক্টিভ এক্স নিয়ন্ত্রণে সর্বজনীনভাবে চিহ্নিত ইস্যুকে সম্বোধন করে, বর্তমানে লক্ষ্যবস্তু আক্রমণগুলির মধ্যে রয়েছে। স্বয়ংক্রিয় আপডেটগুলি সম্পন্ন গ্রাহকরা এই দুর্বলতার বিরুদ্ধে সুরক্ষিত এবং কোনও পদক্ষেপ নেওয়ার প্রয়োজন নেই, " মাইক্রোসফ্ট বিশ্বাসযোগ্য কম্পিউটারের গ্রুপ ম্যানেজার ডাস্টিন চিল্ডস বলেছিলেন ।

জিরো-ডে-র স্থিতি

মাইক্রোসফ্টের সুরক্ষা দলটি কয়েক দিন ব্যস্ত ছিল। গত সপ্তাহে, সুরক্ষা সংস্থা ফায়ারওয়াই মাইক্রোসফ্টকে ইন্টারনেট এক্সপ্লোরারে গুরুতর দুর্বলতার বিষয়ে অবহিত করেছিল, তবে এটি উপস্থিত রয়েছে যে টিম তাদের সম্পর্কে ইতিমধ্যে জানত কারণ অ্যাক্টিভ্যাক্স নিয়ন্ত্রণ প্যাচ (এমএস 13-090) ইনফরমেশনকার্ডসাইনআইএনহেল্পার ত্রুটিটি ঠিক করে। আক্রমণকারীরা ইতিমধ্যে একটি জল-ছিদ্র-স্টাইলের আক্রমণে বাগটি লক্ষ্যবস্তু করেছে এবং শোষণ কোডটি আজ সকালে পাঠ্য-ভাগ করে নেওয়ার সাইট পাস্তবিনে উপস্থিত হয়েছে, এটি এটিকে একটি উচ্চ-অগ্রাধিকারের বিষয় হিসাবে পরিণত করেছে।

"এই প্যাচটি যত তাড়াতাড়ি সম্ভব প্লে করা অত্যন্ত গুরুত্বপূর্ণ, " মার্কেট মাইফ্রেট বলেছেন, বিয়ানওড ট্রাস্টের সিটিও।

মাইক্রোসফ্ট কীভাবে মাইক্রোসফ্ট উইন্ডোজের কিছু সংস্করণ এবং মাইক্রোসফ্ট অফিসের পুরানো সংস্করণগুলি টিআইএফএফ গ্রাফিক্স ফর্ম্যাটটি পরিচালনা করেছিল তাতে শূন্য দিনের দুর্বলতাও প্রকাশ করেছিল। এই প্যাচ মঙ্গলবার প্রকাশে এই ত্রুটিটি সম্বোধনের কোনও প্যাচ উপলব্ধ নেই, সুতরাং যে ব্যবহারকারীরা এখনও ফিক্সট অস্থায়ী কাজটি ইনস্টল করেননি তাদের যত তাড়াতাড়ি সম্ভব এটি করা বিবেচনা করা উচিত।

"ঝুঁকিপূর্ণ এবং উচ্চ-মান ব্যবস্থাগুলির ইতিমধ্যে জায়গায় প্রশমন হওয়া উচিত, " র্যাপিড 7 এর সিকিউরিটি ইঞ্জিনিয়ারিংয়ের সিনিয়র ম্যানেজার রস ব্যারেট বলেছেন।

উচ্চ অগ্রাধিকার প্যাচ

অন্য একটি আই প্যাচ (এমএস 13-088) ওয়েব ব্রাউজারের বিভিন্ন সংস্করণে দুটি তথ্য প্রকাশের বাগ এবং আটটি মেমরি দুর্নীতির সমস্যাগুলি স্থির করেছে। দু'টি দুর্বলতা IE এর প্রতিটি সংস্করণকে affect থেকে ১১ সংস্করণ, সর্বশেষতম সংস্করণে প্রভাবিত করে। যদিও এই দুর্বলতাগুলি ব্যবহার করে আক্রমণগুলি এখনও রিপোর্ট করা হয়নি, উইন্ডোজ এবং ইন্টারনেট এক্সপ্লোরারের এতগুলি সংস্করণ প্রভাবিত হওয়ার অর্থ এই প্যাচটি যত তাড়াতাড়ি সম্ভব চালু করা উচিত।

মাইফ্রেট বলেছিলেন যে আক্রমণকারীরা একটি ত্রুটিযুক্ত ওয়েব পৃষ্ঠা তৈরি করে এবং ব্যবহারকারীদের পৃষ্ঠাটি ডাউনলোড-দ্বারা-চালিত আক্রমণ চালানোর জন্য পৃষ্ঠাটি বোঝাতে রাজি করার মাধ্যমে এই ত্রুটিগুলি কাজে লাগাতে পারে, তৃতীয় সর্বোচ্চ অগ্রাধিকার বুলেটিন (এমএস 13-089) একটি জিডিআই বাগ সংশোধন করে, যা এক্সপি থেকে উইন্ডোজ 8.1 এ উইন্ডোজের প্রতিটি সমর্থিত সংস্করণকে প্রভাবিত করে। আক্রমণকারীদের যেহেতু একটি দূষিত ফাইল তৈরি করা উচিত এবং ব্যবহারকারীরা এই দুর্বলতাটি কাজে লাগানোর জন্য ওয়ার্ডপ্যাডে এটি খুলতে রাজি করান, তাই এটি কোনও সাধারণ ব্রাউজ-এবং-পাওয়ার-মালিকানাধীন দৃশ্য নয়, হুঁশিয়ারি দিয়েছিল মাইফ্রেট। তবে এটি সমর্থিত উইন্ডোজের প্রতিটি সংস্করণকে প্রভাবিত করে বলে এটি "এখনও শক্তিশালী", তিনি বলেছিলেন।

আক্রমণকারী জিডিআই ইন্টারফেসটি ব্যবহার করে চলমান অ্যাপ্লিকেশনটির মতো একই স্তরের বিশেষাধিকার গ্রহণ করবে।

সোজা প্যাচগুলি

বেশ কয়েকটি বিশেষজ্ঞ এই মাসের প্যাচ মঙ্গলবারকে "স্ট্রেটওয়ার্ড" বলেছেন কারণ ফিক্সগুলি উইন্ডোজ, ইন্টারনেট এক্সপ্লোরার এবং কিছু অফিস উপাদানগুলিতে ফোকাস করেছিল। ব্যারেট বলেছিলেন, শেয়ারপয়েন্ট প্লাগইন বা। নেট ফ্রেমওয়ার্কের মতো "প্যাচ করা শক্ত বা প্যাচ করার মতো কিছুই ছিল না"। বাকী প্যাচগুলি মাইক্রোসফ্ট অফিসের বিভিন্ন সংস্করণ (এমএস 13-091) এর দুর্বলতাগুলিকে সম্বোধন করেছে, অফিসের নতুন সংস্করণগুলিতে একটি তথ্য প্রকাশের দুর্বলতা (এমএস 13-094), উইন্ডোজ 8-এ হাইপার-ভি (এমএস 13-092) এর সুবিধার ত্রুটির উন্নতি এবং সার্ভার 2012 আর 2, উইন্ডোজ (এমএস 13-093) এর একটি তথ্য প্রকাশের বাগ এবং অপারেটিং সিস্টেমে পরিষেবার অস্বীকৃতি (এমএস 13-095) সমস্যা।

"সামগ্রিকভাবে, যদিও এটি মঙ্গলবার মাত্র একটি মাঝারি আকারের প্যাচ, তবে দুটি 0-দিনের এবং ইন্টারনেট এক্সপ্লোরার আপডেটের দিকে বিশেষ মনোযোগ দিন Brow ব্রাউজারগুলি বাজারের শীর্ষস্থানীয় শেয়ার সহ আক্রমণকারী এবং ইন্টারনেট এক্সপ্লোরারদের একটি প্রিয় টার্গেট হিসাবে অবিরত রয়েছে one সর্বাধিক দৃশ্যমান এবং সম্ভবত লক্ষ্যমাত্রা, "কোয়ালিসের সিটিও ওল্ফগ্যাং কান্দেক বলেছেন।

মাইক্রোসফ্ট মঙ্গলবার নভেম্বরের প্যাচে শূন্য-দিন স্থির করে