বাড়ি Securitywatch মাইক্রোসফ্ট এটি শূন্য দিনের জন্য ঠিক করে দেয়

মাইক্রোসফ্ট এটি শূন্য দিনের জন্য ঠিক করে দেয়

ভিডিও: Nastya and dad found a treasure at sea (নভেম্বর 2024)

ভিডিও: Nastya and dad found a treasure at sea (নভেম্বর 2024)
Anonim

মাইক্রোসফ্ট ইন্টারনেট এক্সপ্লোরারের পুরানো সংস্করণগুলিতে শূন্য দিনের দুর্বলতার উদ্দেশ্যে সম্বোধন করে একটি "ফিক্স ইট" প্রকাশ করেছে যা গত মাসে বিদেশি সম্পর্কের ওয়েবসাইটে কাউন্সিলের দর্শকদের আপস করার জন্য ব্যবহৃত হয়েছিল।

মাইক্রোসফ্ট ২৯ শে ডিসেম্বর সুরক্ষা উপদেষ্টায় মাইক্রোসফ্ট বলেছে যে শূন্য-দিনের দুর্বলতা আইআই কীভাবে "একটি অবজেক্ট এন মেমরি যা মুছে ফেলা হয়েছে বা সঠিকভাবে বরাদ্দ করা হয়নি তার সাথে সম্পর্কিত" "এই বিষয়টি ইন্টারনেট এক্সপ্লোরার 6,,, এবং 8. নতুন IE 9 এবং 10 প্রভাবিত হয় না।

"ফিক্স ইট" কোনও স্থায়ী প্যাচ নয়, কেবলমাত্র একটি অস্থায়ী প্রক্রিয়া যা সম্পূর্ণ সুরক্ষা আপডেট প্রস্তুত না হওয়া অবধি ব্যবহারকারীদের সুরক্ষায় ব্যবহার করা যেতে পারে। ৮ জানুয়ারী নির্ধারিত জানুয়ারীর প্যাচ মঙ্গলবার আপডেটটি প্রস্তুত হবে কিনা তা মাইক্রোসফ্ট প্রকাশ করেনি।

"এই মুহুর্তে, আপনি যদি ইন্টারনেট এক্সপ্লোরার 9 বা 10 এ আপগ্রেড না করতে পারেন বা আপনি যদি ইতিমধ্যে কোনও কাজের ক্ষেত্র প্রয়োগ করেন না, তবে এটি ঠিক করার প্রয়োগ করার জন্য অত্যন্ত সুপারিশ করা হয়েছে, " সানস প্রযুক্তি ইনস্টিটিউটের জোহানেস উলরিচ ইন্টারনেট স্ট্রমে লিখেছেন কেন্দ্র ব্লগ

ডাউনলোড আক্রমণ দ্বারা ড্রাইভ

এই সুরক্ষা ত্রুটিটি বিশেষত বিপজ্জনক কারণ আক্রমণকারীরা ডাউনলোড ড্রাইভে চালিত আক্রমণে এটিকে কাজে লাগাতে পারে। বুবি-আটকা পড়া ওয়েবসাইটটিতে ভুক্তভোগীরা সাইটে ক্লিক বা ক্লিক না করে সংক্রামিত হবে।

আক্রমণকারীরা এই ত্রুটিটি কাজে লাগানোর জন্য কাউন্সিলের ফরেন রিলেশনসের ওয়েবসাইটে হস্তক্ষেপ করেছিল, ফায়ার-এ গবেষকরা গত সপ্তাহে রিপোর্ট করেছিলেন। বৈদেশিক নীতি থিঙ্ক-ট্যাঙ্কের ওয়েবসাইটে আগত দর্শকরা বিফ্রোজ ম্যালওয়্যার দ্বারা সংক্রামিত হয়েছিল, এটি একটি পিছনের যেটি আক্রমণকারীদের কম্পিউটারে সঞ্চিত ফাইল চুরি করতে দেয়।

সিওআর সিকিউরিটির আলেকস হোরান সিকিউরিটি ওয়াচকে বলেছেন, সিএফআর-এর সাইটের সাথে ছত্রভঙ্গ হওয়া এই ঘটনাটি বোঝায় যে লক্ষ্যযুক্তদের ক্ষতিগ্রস্থরা হচ্ছেন তারা মার্কিন পররাষ্ট্রনীতির প্রতি আগ্রহী। "তাদের মেশিনগুলিকে নিয়ন্ত্রণ করা এবং তাদের সমস্ত স্থানীয় নথি পড়তে সক্ষম হওয়া তথ্যের ভাণ্ডার হবে।" জিরো-ডে আক্রমণগুলি "ব্যয়বহুল" এই অর্থে যে তাদের বিকাশ করা আরও শক্ত, সুতরাং এই লক্ষ্যটি প্রচেষ্টার পক্ষে মূল্যবান হতে হবে, তিনি বলেছিলেন।

সিম্যানটেক সিকিউরিটি রেসপন্স তার ব্লগে বলেছে যে ভুক্তভোগীরা বর্তমানে লক্ষ্যবস্তু হামলা অভিযানের পরামর্শ দিয়ে উত্তর আমেরিকায় মনোনিবেশ করছে।

দূষিত কোডটি সেই ব্রাউজারগুলিকে কাজে লাগিয়েছিল যার অপারেটিং সিস্টেমের ভাষা হয় ইংরেজি (মার্কিন), চীনা (চীন), চাইনিজ (তাইওয়ান), জাপানি, কোরিয়ান বা রাশিয়ান, ফায়ারইয়ের দরিয়েন কিন্ডলুন্ড লিখেছিলেন।

F ই ডিসেম্বর পর্যন্ত সিএফআর সম্ভবত আক্রান্ত হতে পারে বলে সোফোসের সিনিয়র সুরক্ষা উপদেষ্টা চেস্টার উইসনিউইস্কি জানিয়েছেন। উইসনিউস্কি বলেছিলেন, কমপক্ষে পাঁচটি অতিরিক্ত ওয়েবসাইটের সাথে হস্তক্ষেপ করা হয়েছে, "আক্রমণটি প্রাথমিকভাবে চিন্তাভাবনার চেয়ে বেশি বিস্তৃত হওয়ার পরামর্শ দিচ্ছে, " তবে ভুক্তভোগীদের মধ্যে এর কোনও সুস্পষ্ট যোগসূত্র নেই বলে মনে হয়।

ট্রাষ্টওয়েভের সিকিউরিটি রিসার্চ ডিরেক্টর জিভ ম্যাডোর সিকিউরিটি ওয়াচকে বলেছেন, ছুটির মরসুমের আশপাশে আক্রমণ দেখা অস্বাভাবিক নয়। "এটি ঘটেছিল কারণ সুরক্ষা বিক্রেতাদের দ্বারা, সফ্টওয়্যার বিক্রেতাদের দ্বারা এবং আক্রান্ত সংস্থার আইটি টিমের প্রতিক্রিয়া স্বাভাবিকের চেয়ে ধীর হতে পারে""

এটি এবং workaround ঠিক করুন

যেসব ব্যবহারকারী IE 9 বা 10 এ আপগ্রেড করতে পারবেন না বা ফিক্স প্রয়োগ করতে পারবেন না তাদের সম্পূর্ণ প্যাচ উপলব্ধ না হওয়া পর্যন্ত এটি একটি বিকল্প ওয়েব ব্রাউজার ব্যবহার করা উচিত। মাইক্রোসফ্ট সুপারিশ করেছিল যে ব্যবহারকারীর জায়গায় ফায়ারওয়াল রয়েছে এবং সমস্ত সফ্টওয়্যার এবং সুরক্ষা পণ্য পুরোপুরি প্যাচড এবং আপডেট হয়েছে কিনা তা নিশ্চিত করে। যেহেতু এই আক্রমণটি জাভা এবং ফ্ল্যাশ ব্যবহার করে, অ্যালিয়েনওয়াল্টের জেমি ব্লাসকো আপাতত ব্রাউজারে তৃতীয় পক্ষের সফ্টওয়্যার এড়িয়ে চলার পরামর্শ দিয়েছিল।

এমএসআরসি ইঞ্জিনিয়ারিং দলের সদস্য ক্রিশ্চিয়ান ক্রেওভানানু এমএসআরসি ব্লগে লিখেছিলেন যে এটি ফিক্স করা সহজ এবং পুনরায় বুট করার দরকার পড়ে না, এটি ইন্টারনেট এক্সপ্লোরারের প্রারম্ভকালে খুব সামান্য প্রভাব ফেলবে। চূড়ান্ত প্যাচ অবশেষে উপলভ্য হয়ে গেলে, ব্যবহারকারীদের আবার ব্রাউজারের প্রারম্ভকালীন সময়ের গতি বাড়ানোর জন্য কাজটি আনইনস্টল করা উচিত।

উইসনিউস্কি বলেছিলেন যে এই আক্রমণটি "অপর একটি মজাদার স্মৃতি" ছিল যে একটি প্রশাসনিক প্রশাসক হিসাবে কম্পিউটারে কাজ করা এই পরিস্থিতিতে ক্ষতিপূরণ দিতে পারে said অ-সুযোগ সুবিধাযুক্ত ব্যবহারকারী হওয়া মানে আক্রমণকারীরা যে পরিমাণ ক্ষয়ক্ষতি করতে পারে তা সীমাবদ্ধ।

ফাহমিদা থেকে আরও তথ্যের জন্য, @zdFYRashid টুইটারে তাকে অনুসরণ করুন।

মাইক্রোসফ্ট এটি শূন্য দিনের জন্য ঠিক করে দেয়