বাড়ি Securitywatch মাইক্রোসফ্ট প্যাচগুলি মঙ্গলবার মার্চ প্যাচে শূন্য-দিন

মাইক্রোসফ্ট প্যাচগুলি মঙ্গলবার মার্চ প্যাচে শূন্য-দিন

ভিডিও: পাগল আর পাগলী রোমান্টিক কথা1 (নভেম্বর 2024)

ভিডিও: পাগল আর পাগলী রোমান্টিক কথা1 (নভেম্বর 2024)
Anonim

মাইক্রোসফ্ট মার্চ এর প্যাচ মঙ্গলবারের আপডেটের অংশ হিসাবে ইন্টারনেট এক্সপ্লোরার, মাইক্রোসফ্ট উইন্ডোজ এবং সিলভারলাইটে ২৩ টি দুর্বলতাকে ফিক্সিং করে পাঁচটি প্যাচ-দুটি "ক্রিটিকাল" এবং তিনটি "গুরুত্বপূর্ণ" হিসাবে চিহ্নিত করেছে। আইই প্যাচটি বন্ধ ছিল শূন্য-দিনের দুর্বলতা আক্রমণকারীরা ফেব্রুয়ারী থেকে শোষণ করছে।

আক্রমণকারীরা অপারেশন স্নোম্যান-এর অংশ হিসাবে গত মাসে ইন্টারনেট এক্সপ্লোরার 10-এ সমালোচনামূলক শূন্য দিনের দুর্বলতা (সিভিই -2014-0322) কাজে লাগিয়েছিল, যা বিদেশী যুদ্ধের মার্কিন ভেটেরান্সের ওয়েবসাইটের সাথে সমঝোতা করেছিল, পাশাপাশি একটি ফরাসিকে ছদ্মবেশে তৈরি করেছিল অন্যরকম আক্রমণে মহাকাশ প্রস্তুতকারক। আইই প্যাচ (এমএস ১৪-০২২) এই ত্রুটিটি বন্ধ করে দেয় এবং এর সাথে আরও ১ ones টি রয়েছে, যা মাইক্রোসফ্ট বিশ্বাসযোগ্য কম্পিউটিংয়ের গ্রুপ ম্যানেজার ডাস্টিন চাইল্ডস, ইন্টারনেট এক্সপ্লোরার 8 (সিভিই -2014-0324) এর বিরুদ্ধে সীমিত লক্ষ্যবস্তু আক্রমণে ব্যবহৃত হয়েছিল including, মাইক্রোসফ্ট সুরক্ষা প্রতিক্রিয়া কেন্দ্র ব্লগে লিখেছেন।

"স্পষ্টতই আইই আপডেটটি আপনার সর্বোচ্চ অগ্রাধিকার হওয়া উচিত, " শিশুরা বলেছিল।

সিলভারলাইট সহ সমস্যাগুলি

অন্যান্য সমালোচক প্যাচ ডাইরেক্টশোতে একটি সমালোচিত দূরবর্তী কোড প্রয়োগের ত্রুটিটি ঠিক করে এবং উইন্ডোজের একাধিক সংস্করণকে প্রভাবিত করে। ডাইরেক্টশোর মাধ্যমে জেপিজি চিত্রগুলি কীভাবে পার্স করা যায় তা এই দুর্বলতার মধ্যে রয়েছে, সম্ভবত এই ত্রুটিটি ব্যবহার করে হামলাগুলি আপোষযুক্ত ওয়েব পৃষ্ঠাগুলির ভিতরে দূষিত চিত্রগুলি প্রবেশ করবে বা নথিগুলির মধ্যে এম্বেড করা হবে, "বিয়ানওড ট্রাস্টের সিটিও বলেছিলেন মার্ক। এটি লক্ষ্য করার মতো বিষয় যে প্রশাসকবিহীন সুযোগ-সুবিধাগুলি নিয়ে চলমান ব্যবহারকারীরা এই আক্রমণগুলির দ্বারা কম প্রভাব ফেলবে কারণ আক্রমণকারী তার বা তার দ্বারা যে ক্ষয়ক্ষতি করতে পারে তা সীমাবদ্ধ থাকবে।

সিলভারলাইটে বাইপাস সুরক্ষা বৈশিষ্ট্যটিকে "গুরুত্বপূর্ণ" হিসাবে চিহ্নিত করা হয়েছে তবে এটির উচ্চতর অগ্রাধিকারও হওয়া উচিত। মাইক্রোসফ্ট বলেছে যে আক্রমণকারীরা বিশেষত কারুকৃত সিলভারলাইট সামগ্রীযুক্ত একটি দূষিত সাইটে ব্যবহারকারীদের নির্দেশ দিয়ে ত্রুটিটি ব্যবহার করতে পারে। মাইফ্রেট হুঁশিয়ারি উচ্চারণ করে যে আক্রমণকারীরা এএসএলআর এবং ডিইপি-কে বাইপাস করতে পারে, দু'টি এই দুর্বলতাকে কাজে লাগিয়ে উইন্ডোজে অন্তর্নির্মিত প্রশমন প্রযুক্তি ব্যবহার করতে পারে, মাইফ্রেট সতর্ক করেছিলেন। ডিসেম্বরে (এমএস 13-106) প্যাচযুক্ত এএসএলআর বাইপাস ত্রুটি যেমন সিস্টেমের নিয়ন্ত্রণ অর্জনের জন্য এএসএলআর এবং ডিইপিকে বাইপাস করে রিমোট কোড এক্সিকিউশন অর্জনের জন্য একজন আক্রমণকারীকে একটি গৌণ শোষণের প্রয়োজন হবে। যদিও বন্যের মধ্যে এই ত্রুটিটি ব্যবহার করে কোনও আক্রমণ চলছে না, ব্যবহারকারীদের প্যাচ প্রয়োগ না হওয়া অবধি ইন্টারনেট এক্সপ্লোরার, ফায়ারফক্স এবং ক্রোমে চালানো থেকে সিলভারলাইটকে আটকাতে হবে, মাইফ্রেট বলেছিলেন। পুরানো প্যাচগুলিও মোতায়েন করা হয়েছে তা নিশ্চিত করাও গুরুত্বপূর্ণ।

মাইক্রোসফ্টকে সিলভারলাইট ছেড়ে দেওয়া উচিত কারণ "এটি তার সীমিত গ্রহণের ফলে অনেকগুলি প্যাচ দেখায়, " টিলার রিগুলি পরামর্শ দিয়েছিলেন। মাইক্রোসফ্ট যেহেতু কমপক্ষে ২০২১ অবধি এটি সমর্থন অব্যাহত রাখবে, তাই সংস্থাগুলি সিলভারলাইট থেকে দূরে সরে যেতে শুরু করবে যাতে "আমরা সবাই সিলভারলাইট আনইনস্টল করতে পারি এবং কার্যকরভাবে শেষ ব্যবহারকারী সিস্টেমগুলির সুরক্ষা বাড়িয়ে তুলতে পারি, " তিনি যোগ করেন।

মাইক্রোসফ্ট প্যাচগুলি বাকি

উইন্ডোজ কার্নেল মোড ড্রাইভার (এমএস 14-014) সুবিধার দুর্বলতার উচ্চতার একজোড়া সম্বোধনকারী আরেকটি প্যাচ যা শীঘ্রই প্রয়োগ করা উচিত যা উইন্ডোজের সমস্ত সমর্থিত সংস্করণকে প্রভাবিত করে (এই মাসে, এতে এখনও উইন্ডোজ এক্সপি অন্তর্ভুক্ত রয়েছে)। এই ত্রুটিটি কাজে লাগাতে আক্রমণকারীটির "বৈধ লগন শংসাপত্র থাকতে হবে এবং স্থানীয়ভাবে লগ ইন করতে সক্ষম হতে হবে, " মাইক্রোসফ্ট সতর্ক করেছিল।

চূড়ান্ত প্যাচটি সিকিউরিটি অ্যাকাউন্ট ম্যানেজার রিমোট (এসএএমআর) প্রোটোকলে সমস্যাগুলি সমাধান করে যা আক্রমণকারীদের অ্যাক্টিভ ডিরেক্টরি অ্যাকাউন্টগুলিকে নিষ্ঠুরূপে প্রয়োগ করতে এবং অ্যাকাউন্ট থেকে লক আউট না করতে দেয়। প্যাচটি সেই এপিআই কলটি ঠিক করে যাতে আক্রমণে থাকা অবস্থায় উইন্ডোজ সঠিকভাবে অ্যাকাউন্টগুলি লক করে দেয়। "পাসওয়ার্ড প্রচেষ্টা লক আউট নীতিগুলি বিশেষত জাল-বাহিনী প্রচেষ্টা রোধ করতে এবং দূষিত আক্রমণকারীকে নীতিমালাটি যে সুরক্ষা সরবরাহ করে তা সম্পূর্ণরূপে পরাভূত করার জন্য বাইপাস করার অনুমতি দেয়।"

অন্যান্য সফ্টওয়্যার আপডেট

অপারেটিং সিস্টেম আপডেটের জন্য এটি সপ্তাহ। অ্যাপল এই সপ্তাহের শুরুর দিকে আইওএস 7.1 প্রকাশ করেছে এবং অ্যাডোব আজ দুটি দুর্বলতা বন্ধ করতে তার অ্যাডোব ফ্ল্যাশ প্লেয়ার (এপিএসবি 14-08) আপডেট করেছে। অ্যাডোব বলেছেন, ইস্যুগুলি বর্তমানে বন্যের মধ্যে কাজে লাগানো হচ্ছে না।

অ্যাপল আইওএস in-তে কয়েকটি উল্লেখযোগ্য সমস্যা সমাধান করেছে যার মধ্যে একটি ক্র্যাশ-রিপোর্টিং ইস্যু রয়েছে যা স্থানীয় ব্যবহারকারীকে আক্রান্ত ডিভাইসগুলিতে স্বেচ্ছাসেবী ফাইলগুলিতে অনুমতি পরিবর্তন করতে পারে, একটি কার্নেল সমস্যা যা কার্নেলের মধ্যে অপ্রত্যাশিত সিস্টেমের সমাপ্তি বা স্বেচ্ছাসেবক কোড কার্যকর করার অনুমতি দিতে পারে, এবং একটি বাগ যা কোনও অননুমোদিত ব্যবহারকারীকে আক্রান্ত ডিভাইসে কোড-স্বাক্ষরকরণের প্রয়োজনীয়তাগুলি বাইপাস করার অনুমতি দেয়। অ্যাপল একটি বাগও স্থির করে যা কোনও আক্রমণকারীকে এন্টারপ্রাইজ অ্যাপ্লিকেশন ডাউনলোডের মাধ্যমে কোনও দূষিত অ্যাপ্লিকেশন ডাউনলোড করতে প্ররোচিত করতে সক্ষম করে এবং অন্যটি যা একটি বিদ্বেষপূর্ণভাবে কারুকৃত ব্যাকআপ ফাইলকে আইওএস ফাইল সিস্টেমকে পরিবর্তন করতে দেয়।

মাইক্রোসফ্ট প্যাচগুলি মঙ্গলবার মার্চ প্যাচে শূন্য-দিন