বাড়ি Securitywatch মঙ্গলবার মার্চ প্যাচে মাইক্রোসফ্ট ভীতিজনক ইউএসবি ত্রুটি, 20 বাগ, ঠিক করেছে

মঙ্গলবার মার্চ প্যাচে মাইক্রোসফ্ট ভীতিজনক ইউএসবি ত্রুটি, 20 বাগ, ঠিক করেছে

ভিডিও: ुमारी है तो इस तरह सुरु कीजिय नेही तोह à (নভেম্বর 2024)

ভিডিও: ुमारी है तो इस तरह सुरु कीजिय नेही तोह à (নভেম্বর 2024)
Anonim

মাইক্রোসফট মঙ্গলবার মার্চ প্যাচের জন্য ২০ টিরও বেশি দুর্বলতার সংশোধন করে সাতটি সুরক্ষা বুলেটিন প্রকাশ করেছে। আক্রান্ত অ্যাপ্লিকেশন এবং উপাদানগুলির মধ্যে রয়েছে ইন্টারনেট এক্সপ্লোরার, সিলভারলাইট, ভিজিও ভিউয়ার, শেয়ারপয়েন্ট, ওয়াননোট, ম্যাকের জন্য অফিস এবং উইন্ডোজের সমস্ত সংস্করণে একটি কার্নেল ড্রাইভার।

মঙ্গলবার প্রকাশিত মাইক্রোসফ্টের সুরক্ষা পরামর্শ অনুযায়ী বুলেটিনগুলির মধ্যে চারজনকে সমালোচিত এবং তিনটি গুরুত্বপূর্ণ হিসাবে চিহ্নিত করা হয়েছিল। সর্বাধিক অগ্রাধিকারযুক্ত ক্রমযুক্ত ইন্টারনেট এক্সপ্লোরার প্যাচটি ইন্টারনেট এক্সপ্লোরারের সমস্ত সমর্থিত সংস্করণে 6 থেকে 10 সংস্করণে প্রযোজ্য।

সিকিউরলিস্টে ক্যাসপারস্কি ল্যাবের সিনিয়র সিকিউরিটি গবেষক কুর্ট বাউমগার্টনার "সিকিউরলিস্টে লিখেছিলেন, " উইন্ডোজ চালানো বেশিরভাগ সবাই এবং মাইক্রোসফ্টের প্রচুর দোকানগুলি আজ খুব যত্নের সাথে সিস্টেমগুলি প্যাচিং করা উচিত।"

মাইক্রোসফ্ট ইতিমধ্যে এই সংশোধনগুলি অন্তর্ভুক্ত করেছিল বলে উইন্ডোজ 7 এর জন্য আইই 10 টি ডাউনলোড এবং ইনস্টল করা ব্যবহারকারীদের জন্য আইই পরামর্শদাতা প্রযোজ্য নয়। যদিও বর্তমানে তাদের কোনটিকেই বন্যের মধ্যে লক্ষ্য করা হচ্ছে না, IE প্রায়শই একটি লক্ষ্য এবং তাৎক্ষণিকভাবে প্যাচ করা উচিত।

সিকিউরিটিওয়াচকে সিটিও মার্কেট মাইফ্রেট সিকিউরিটি ওয়াচকে বলেছেন, "সম্বোধিত নয়টি সিভিই-র মধ্যে, সাতটিই ইন্টারনেট এক্সপ্লোরারের প্রতিটি সমর্থিত সংস্করণকে প্রভাবিত করে, সুতরাং অদূর ভবিষ্যতে শোষণের জন্য দুর্বলতা বাছাই করার সময় আক্রমণকারীদের অনেক পছন্দ রয়েছে।"

গত সপ্তাহে ক্যানসেকওয়েস্টে পিএনএন 2 ওয়ান প্রতিযোগিতার অংশ হিসাবে প্রকাশিত দুর্বলতাগুলির কোনওটিই এই মাসের প্যাচটিতে অন্তর্ভুক্ত করা হয়নি, তবে এটি শীঘ্রই আসবে এটি একটি নিশ্চিত বাজি।

স্টাকসনেটের স্পেক্টর

এই মাসে প্যাচ করা কার্নেল মোডের চালকের দুর্বলতা ফেব্রুয়ারি এবং জানুয়ারিতে প্যাচ করা বাগগুলির মতো দেখাতে পারে তবে এটি আরও ভয়ঙ্কর ত্রুটি। ইউএসবি ডিভাইস ড্রাইভারের ত্রুটিটি কেবলমাত্র একটি কম্পিউটারে ইউএসবি ড্রাইভ someoneোকানোর কারনেই ট্রিগার হতে পারে। কম্পিউটার লকড রয়েছে কিনা বা ব্যবহারকারী লগ আউট হয়েছে তা বিবেচ্য নয়; কম্পিউটার চালু হতে হবে।

মাইক্রোসফ্ট এই বুলেটিনকে "সমালোচনামূলক" এর বিপরীতে কেবল "গুরুত্বপূর্ণ" হিসাবে চিহ্নিত করেছে কারণ আক্রমণটিতে কম্পিউটারে প্রবেশের জন্য আক্রমণকারীটির প্রয়োজন হয়। কোনও রিমোট ভেক্টর নেই, যার অর্থ এটি কেবল "অত্যন্ত সীমাবদ্ধ এবং লক্ষ্যযুক্ত আক্রমণে শোষণ করা হবে, " মাইফ্রেট বলেছিলেন।

তবে অন্যান্য বিশেষজ্ঞরা সজাগ হয়েছিলেন। এনসি সার্কেলের সিকিউরিটি অপারেশন ডিরেক্টর অ্যান্ড্রু স্টর্মস বলেছিলেন, "কেবল একটি সন্ধ্যায় এই দুর্বলতার জন্য সঠিকভাবে অনুপ্রাণিত জেনারেটর কর্মীরা কী করতে পারে তা ভেবে দেখুন, " সরকারী কিওস্ক এবং সহ-অবস্থান কেন্দ্রগুলিতে লক ক্যাবিনেটগুলি নেই এমন সমস্ত ঝুঁকির মধ্যে রয়েছে। "এই দুর্বলতার সাথে ক্ষতির সম্ভাবনা বেশি বলা যায় না, " ঝড়গুলি বলেছিল।

এই দুর্বলতাটি কতটা গুরুতর তার একটি ধারণা দেওয়ার জন্য, স্টাকসনেট "অটো-রান" বৈশিষ্ট্যটির সুযোগ নিয়েছিল যা উইন্ডোজটিকে ইউএসপিতে ইনপুট ছাড়াই একটি ইউএসবি ড্রাইভে স্বয়ংক্রিয়ভাবে কোড কার্যকর করতে দেয়। এরপরে অটো-রানটি অক্ষম করা হয়েছে, র‌্যাপিড's এর রস ব্যারেট অনুসারে, অটো চালানোর আগে সর্বশেষতম ইউএসবি দুর্বলতা শুরু হয়েছে।

"আপনি এই আক্রমণ পদ্ধতিটি বছরের পর বছর ধরে সিনেমাগুলিতে দেখেছেন এবং এটি এখন বিশ্বজুড়ে বিভিন্ন উদ্যোগে প্রদর্শিত হচ্ছে, " ঝড়গুলি বলেছিল।

সিলভারলাইট, অফিস, শেয়ারপয়েন্ট, ওহ আমার!

মাইক্রোসফ্ট সিলভারলাইটে একটি সমালোচনামূলক বুলেটিন সমাধান করা হয়েছে, এটি "আকর্ষণীয় ছিল যেহেতু আমি জানতাম না যে বিশ্বের কেউই আসলেই সিলভারলাইট স্থাপন করেছিল, " র‌্যাপিড's এর ব্যারেট সিকিউরিটি ওয়াচকে বলেছেন। যাদের সিলভারলাইট রয়েছে তাদের কাছে এটি একটি গুরুতর বিষয়, "ফ্ল্যাশ দুর্বলতার সমতুল্য, " ব্যারেট বলেছিলেন। বাগটি সিলভারলাইটের সমস্ত সংস্করণকে প্রভাবিত করে, তবে প্যাচটি কেবল সিলভারলাইট ৫ এর জন্য প্রযোজ্য Users প্যাচ প্রয়োগের আগে ব্যবহারকারীদের অবশ্যই সিলভারলাইট আপডেট করতে হবে।

ভিজিও 2010 দর্শকের জন্য প্যাচটি সমালোচিত হিসাবে রেট করা হয়েছে কারণ এটি রিমোট কোড প্রয়োগের অনুমতি দেয়। একটি সম্ভাব্য আক্রমণকারী ভেক্টর কোনও ব্যবহারকারীকে ইমেলের মাধ্যমে প্রেরিত একটি ত্রুটিযুক্ত ভিজিও ডকুমেন্ট পড়ার জন্য ট্র্যাক করছে। তবে, ভিজিও দুর্বলতার জন্য ভিজিও ভিউয়ার অ্যাক্টিভএক্স নিয়ামক ইনস্টল হওয়া দরকার, ব্যারেট বলেছিলেন। তিনি বলেন, প্রশাসনিকরা এই বৈশিষ্ট্যটি অক্ষম করতে পারবেন যতক্ষণ না প্যাচটিকে প্রশমিতকরণ পদক্ষেপ হিসাবে পুরোপুরি প্রয়োগ করা হয়। শেয়ারপয়েন্ট ত্রুটি আক্রমণকারীদের ক্রস-সাইট-স্ক্রিপ্টিং ব্যবহার করে সংরক্ষিত ক্যোয়ারিতে দূষিত কোড ইনজেকশনের অনুমতি দেয়। এই ক্যোয়ারী, যখন মৃত্যুদন্ড কার্যকর করা হয়, প্রশাসক সুযোগ-সুবিধা সহ আক্রমণ কোড চালাতে পারে।

ওকনোট এবং ম্যাকের জন্য আউটলুক উভয়েরই এই মাসে প্যাচ ছিল এবং এটি গুরুত্বপূর্ণ হিসাবে রেট করা হয়েছে। একজন আক্রমণকারী ব্যবহারকারীকে দূষিত ওয়াননোট ফাইল বা ফোল্ডারটি খোলার জন্য প্ররোচিত করতে পারে, যা ব্যাগটিকে পাসওয়ার্ড এবং এনক্রিপশন সুরক্ষা ব্যবস্থা ব্যবহারকারীর ওয়াননোট ফাইল এবং ফোল্ডারগুলি পড়ার বাইপাসে চালিত করতে পারে।

মঙ্গলবার মার্চ প্যাচে মাইক্রোসফ্ট ভীতিজনক ইউএসবি ত্রুটি, 20 বাগ, ঠিক করেছে