বাড়ি Securitywatch মাইক্রোসফ্ট মঙ্গলবার ডিসেম্বর প্যাচে টিফ শূন্য দিন স্থির করে

মাইক্রোসফ্ট মঙ্গলবার ডিসেম্বর প্যাচে টিফ শূন্য দিন স্থির করে

ভিডিও: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (নভেম্বর 2024)

ভিডিও: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (নভেম্বর 2024)
Anonim

মাইক্রোসফ্ট ডিসেম্বরের প্যাচ মঙ্গলবার প্রকাশের জন্য ১১ টি সুরক্ষা বুলেটিন ঘোষণা করেছে, মাইক্রোসফ্ট উইন্ডোজ, ইন্টারনেট এক্সপ্লোরার, অফিস এবং এক্সচেঞ্জ সহ মাইক্রোসফ্ট সফ্টওয়্যারটিতে 24 টি দুর্বলতা সংশোধন করেছে। মাইক্রোসফ্ট নভেম্বরে আবিষ্কৃত এক্সপি / সার্ভার ২০০৩-এর শূন্য দিনের ত্রুটিটি চিহ্নিত না করে, এটি টিআইএফএফ বাগটি ঠিক করেছিল যা উইন্ডোজ, অফিস এবং লিনক এন্টারপ্রাইজ মেসেজিং সিস্টেমকে প্রভাবিত করেছিল।

বুলেটিনের পাঁচটিকে "সমালোচক" হিসাবে চিহ্নিত করা হয়েছে এবং বাকি ছয়টি "গুরুত্বপূর্ণ" হিসাবে বিবেচিত হয়েছে। এক্ষেত্রে সমালোচনার অর্থ হ'ল যদি এটি ব্যবহার করা হয় তবে দুর্বলতা আক্রমণকারীকে দূর থেকে কোড সম্পাদন করতে দেয়। এই প্রসঙ্গে গুরুত্বপূর্ণ এর অর্থ হ'ল দুর্বলতার ফলে ব্যবহারকারী ডেটা আপোস বা নির্দিষ্ট প্রক্রিয়াগুলি ব্যাহত হতে পারে। মাইক্রোসফ্ট সুপারিশ করে যে ক্রিটিকাল প্যাচগুলি তাত্ক্ষণিকভাবে প্রয়োগ করা হবে এবং গুরুত্বপূর্ণ প্যাচগুলি "প্রাথমিক পর্যায়ে"।

র‌্যাপিড at-এর সিকিউরিটি ইঞ্জিনিয়ারিংয়ের সিনিয়র ম্যানেজার রস ব্যারেট বলেছেন, "মরসুমের শেষ, শেষের গ্রীষ্মমন্ডলীয় ঝড়ের মতো মাইক্রোসফ্টও সুরক্ষা এবং আইটি দলগুলিতে একের পর এক শেষ সোয়াইপ নিচ্ছে।"

জিরো ডে দ্যাট গট ফিক্সড

গ্রাফিক্স উপাদান শূন্য-দিনের ইস্যুটি উইন্ডোজ ভিস্তা, উইন্ডোজ সার্ভার ২০০৮, অফিস 2003/2007/2010 এবং লিনক 2010/2013 প্রভাবিত করেছিল। এই দুর্বলতা দূষিত-কারুকাজযুক্ত টিআইএফএফ চিত্রের পূর্বরূপ বা খোলার মাধ্যমে এবং এক্সপি সিস্টেমে Office 2010 সফলভাবে লক্ষ্যবস্তু হয়ে সক্রিয় আক্রমণগুলি ব্যবহার করা যেতে পারে। এই বাগটি এমএস 13-096-এ স্থির করা হয়েছে, মাইক্রোসফ্ট বিশ্বাসযোগ্য কম্পিউটিংয়ের গ্রুপ ম্যানেজার ডাস্টিন চাইল্ডস জানিয়েছেন।

ব্যবহারকারী এবং প্রশাসকদের এই প্যাচটিকে শীর্ষ অগ্রাধিকার হিসাবে বিবেচনা করা উচিত, এমনকি তারা নভেম্বরে হটফিক্সটি ইনস্টল করতে চাইলেও, লুমেনশনের একজন ফরেনসিক বিশ্লেষক পল হেনরি সিকিউরিটি ওয়াচকে বলেছেন। "যেহেতু আমরা জানি ব্যবহারকারীদের ক্লিক করতে প্ররোচিত করা সবসময় করা খুব কঠিন নয়, এইটির জন্য একটি প্যাচ অবশ্যই স্পষ্টভাবে গ্রহণযোগ্য, " হেনরি বলেছিলেন।

ইন্টারনেট এক্সপ্লোরারের জন্য প্রচুর সংশোধন করা হয়েছে

পরবর্তী অগ্রাধিকার প্যাচটি এমএস 13-097 হওয়া উচিত, এটি ইন্টারনেট এক্সপ্লোরারের সমষ্টিগত আপডেট। এই বুলেটিনটি সাতটি বাগ স্কোয়াশ করে। যদিও এই বিষয়গুলি বর্তমানে লক্ষ্যবস্তু করা হচ্ছে না, তবে অনেকগুলি ম্যালওয়্যার লেখক নতুন শোষণ তৈরির জন্য প্যাচগুলি বিপরীত করতে পছন্দ করেন। এর অর্থ হ'ল ব্যবহারকারীরা যেগুলি তাত্ক্ষণিকভাবে আপডেট করেননি তারা এই অন্যতম শোষণের দ্বারা ধরা পড়তে পারেন।

আইই প্যাচে ঠিক করা বাগগুলির মধ্যে একটি ইন্টারনেট এক্সপ্লোরারের প্রতিটি সমর্থিত সংস্করণকে প্রভাবিত করে, বিয়ন্ডট্রাস্টের সিটিও মার্ক মারিফ্রেটকে সতর্ক করে দিয়েছে। "যত তাড়াতাড়ি সম্ভব এই প্যাচ রোল, " তিনি বলেছিলেন।

মাইক্রোসফ্ট স্ক্রিপ্টিং রান-টাইম অবজেক্ট লাইব্রেরি (এমএস 13-099) এ সমস্যা সমাধানের বুলেটিনটিকেও উচ্চ অগ্রাধিকার হিসাবে বিবেচনা করা উচিত কারণ এই উইন্ডোজ উপাদানটি অপারেটিং সিস্টেমের প্রতিটি সংস্করণে বিতরণ করা হয়। মাইফ্রেট সতর্ক করেছিলেন যে আক্রমণকারীরা ড্রাইভ বাই আক্রমণ চালিয়ে ওয়েব ব্রাউজারের মাধ্যমে ত্রুটিগুলি কাজে লাগাতে পারে এবং ভুক্তভোগীর কম্পিউটারটিকে দূষিত কোড কার্যকর করতে প্ররোচিত করতে পারে, মাইফ্রেট সতর্ক করেছিলেন।

স্বাক্ষর বৈধকরণে ইস্যু

মাইক্রোসফ্ট উইন্ডোজের প্রতিটি সমর্থিত সংস্করণে উপস্থিত WinVerifyTrust স্বাক্ষর বৈধকরণ ব্যবস্থায় (MS13-098) এ বিষয়টি সমাধান করেছে। আক্রমণকারীরা প্রোগ্রামটির স্বাক্ষরকে অকার্যকর না করে একটি স্বাক্ষরিত প্রোগ্রামটি সংশোধন করতে এই ত্রুটিটির সুযোগ নিতে পারে। মাইফ্রেট বলেছিলেন যে ব্যবহারকারীগণ নির্বাহী একটি বৈধ কর্মসূচি বলে মনে করবেন কারণ বাস্তবে এটিতে দূষিত কোড রয়েছে তখন এটির বৈধ স্বাক্ষর ছিল।

এই দুর্বলতা লক্ষ্য করে শোষণগুলি বন্যের মধ্যে ইতিমধ্যে লক্ষ্য করা গেছে, এই প্যাচটিকে মোতায়েন করাও একটি অগ্রাধিকার।

আউটলুক ওয়েব অ্যাক্সেসে বাগ এক্সচেঞ্জ

মাইক্রোসফ্ট এক্সচেঞ্জ বুলেটিন (এমএস 13-105) আউটলুক ওয়েব অ্যাক্সেস (ওডাব্লুএ) এর সাথে সমস্যাগুলিকে সম্বোধন করে এবং ওরাকলের বাইরের দিকের উপাদানটির সাথে সম্পর্কিত। এই প্যাচটি আসে অক্টোবরে ওরাকল তার সমালোচক প্যাচ আপডেটে উপাদানটির একটি নতুন সংস্করণ প্রকাশ করার পরে। আক্রমণকারীরা ই-মেইলের মাধ্যমে দূষিত দলিল প্রেরণ করে এই বাগগুলি ব্যবহার করতে পারে। কোয়েলসের সিটিও ওল্ফগ্যাং কান্দেক বলেন, আক্রমণকারীরা ব্যবহারকারীকে এটি দেখার জন্য ট্র্যাকিংয়ের পরে পুরো মেল সার্ভারের নিয়ন্ত্রণ নিতে পারে। "আপনি যদি আপনার সেটআপে ওডাব্লুএ ব্যবহার করেন, এমএস 13-105 আপনার সংস্থার জন্য একটি গুরুত্বপূর্ণ প্যাচ, " কান্দেক বলেছিলেন।

প্যাচিং অ্যাডোব ফ্ল্যাশ

সংস্থাটি আরও চারটি উপদেষ্টা প্রকাশ করেছে, যার মধ্যে একটি ইন্টারনেট এক্সপ্লোরারে অ্যাডোব ফ্ল্যাশ প্লেয়ারকে আপডেট করেছে। অ্যাডোব এর আগে আজ ফ্ল্যাশ প্লেয়ার 11.9.900.153 এবং উইন্ডোজ এবং ম্যাক ওএস এক্স এর পূর্ববর্তী সংস্করণগুলিতে দুটি দুর্বলতার মুখোমুখি হয়েছিল। বর্তমানে ইস্যুগুলির একটির মধ্যে বন্যকে লক্ষ্য করা হচ্ছে, অ্যাডোব বলেছিল। মাইক্রোসফ্ট তার উপদেষ্টাগুলি প্রকাশ করেছে কারণ এটি ইন্টারনেট এক্সপ্লোরারের সর্বশেষ সংস্করণে ফ্ল্যাশ প্লেয়ারকে বান্ডিল করে, গুগল তার ক্রোম ব্রাউজারের সাথে একই রকম করে।

অন্য একটি মাইক্রোসফ্ট পরামর্শদাতা এএসপি.এনইটি অ্যাপ্লিকেশনগুলিকে প্রভাবিত করে একটি গুরুত্বপূর্ণ প্রমাণীকরণ সম্পর্কিত সমস্যা সম্বোধন করেছে।.NET অ্যাপ্লিকেশন বিকাশকারীদের তাদের অ্যাপ্লিকেশনগুলি প্রভাবিত না হয় তা নিশ্চিত করার জন্য পরামর্শদাতাকে মনোযোগ দেওয়া উচিত।

"এটি এখানে জড়িত সমস্ত দলের জন্য একটি ব্যস্ত মাস হতে চলেছে, সবাইকে খুশী করে খুশী, " ব্যারেট বলেছিলেন।

মাইক্রোসফ্ট মঙ্গলবার ডিসেম্বর প্যাচে টিফ শূন্য দিন স্থির করে