2023 সালে ব্রাউজারের জন্য চিহ্নিত অষ্টম শূন্য-দিনের দুর্বলতা চিহ্নিত করে, বন্য অঞ্চলে সক্রিয় শোষণের অধীনে থাকা Chrome-এ সম্প্রতি আবিষ্কৃত একটি দুর্বলতা মোকাবেলার জন্য Google একটি জরুরি আপডেট জারি করেছে।
হিসেবে চিহ্নিত করা হয়েছে জন্য CVE-2023-7024, Google বলেছে যে দুর্বলতা হল Chrome এর WebRTC মডিউলের মধ্যে একটি উল্লেখযোগ্য হিপ বাফার ওভারফ্লো ত্রুটি যা রিমোট কোড এক্সিকিউশন (RCE) এর অনুমতি দেয়।
WebRTC হল একটি ওপেন সোর্স উদ্যোগ যা API-এর মাধ্যমে রিয়েল-টাইম যোগাযোগ সক্ষম করে এবং নেতৃস্থানীয় ব্রাউজার নির্মাতাদের মধ্যে ব্যাপক সমর্থন উপভোগ করে।
কিভাবে CVE-2023-7024 Chrome ব্যবহারকারীদের হুমকি দেয়
লিওনেল লিটি, মেনলো সিকিউরিটির প্রধান নিরাপত্তা স্থপতি, ব্যাখ্যা করেন যে শোষণের ঝুঁকি হল রেন্ডারার প্রক্রিয়ায় RCE অর্জন করার ক্ষমতা। এর মানে হল একজন খারাপ অভিনেতা জাভাস্ক্রিপ্ট স্যান্ডবক্সের বাইরে ব্যবহারকারীর মেশিনে নির্বিচারে বাইনারি কোড চালাতে পারে।
যাইহোক, প্রকৃত ক্ষতি একটি শোষণ শৃঙ্খলে প্রথম পদক্ষেপ হিসাবে বাগ ব্যবহার করার উপর নির্ভর করে; এটিকে সত্যই বিপজ্জনক হতে ক্রোম বা OS-এ একটি স্যান্ডবক্স এস্কেপ দুর্বলতার সাথে একত্রিত করা দরকার।
“যদিও ক্রোমের মাল্টিপ্রসেস আর্কিটেকচারের কারণে এই কোডটি এখনও স্যান্ডবক্স করা আছে,” লিটি বলেছেন, “সুতরাং শুধুমাত্র এই দুর্বলতার সাথে একজন আক্রমণকারী ব্যবহারকারীর ফাইলগুলি অ্যাক্সেস করতে পারে না বা ম্যালওয়্যার স্থাপন করা শুরু করতে পারে না এবং প্রভাবিত ট্যাবটি যখন মেশিনে তাদের অবস্থান চলে যায় বন্ধ।"
তিনি উল্লেখ করেছেন যে ক্রোমের সাইট আইসোলেশন বৈশিষ্ট্যটি সাধারণত অন্যান্য সাইট থেকে ডেটা রক্ষা করবে, তাই একজন আক্রমণকারী শিকারের ব্যাঙ্কিং তথ্যকে লক্ষ্য করতে পারে না, যদিও তিনি এখানে কিছু সূক্ষ্ম সতর্কতা যোগ করেছেন।
উদাহরণস্বরূপ, যদি তারা একই সাইট ব্যবহার করে তবে এটি একটি লক্ষ্যবস্তুকে দূষিত উত্সের কাছে প্রকাশ করবে: অন্য কথায়, একটি অনুমানমূলক malicious.shared.com শিকার.shared.comকে লক্ষ্য করতে পারে৷
"যদিও মাইক্রোফোন বা ক্যামেরায় অ্যাক্সেসের জন্য ব্যবহারকারীর সম্মতির প্রয়োজন হয়, WebRTC-এ অ্যাক্সেস নিজেই করে না," লিটি ব্যাখ্যা করেন। "এটা সম্ভব যে এই দুর্বলতাটি ক্ষতিকারক পৃষ্ঠাটি দেখার বাইরে কোনও ব্যবহারকারীর ইনপুটের প্রয়োজন ছাড়াই যে কোনও ওয়েবসাইট দ্বারা লক্ষ্য করা যেতে পারে, তাই এই দৃষ্টিকোণ থেকে হুমকিটি তাৎপর্যপূর্ণ।"
কোয়ালিস থ্রেট রিসার্চ ইউনিটের প্রধান হুমকি গোয়েন্দা বিশ্লেষক অব্রে পেরিন নোট করেছেন যে বাগটির নাগাল Google Chrome এর বাইরেও বিস্তৃত।
"ক্রোমের শোষণ তার সর্বব্যাপীতার সাথে আবদ্ধ - এমনকি মাইক্রোসফ্ট এজ ক্রোমিয়াম ব্যবহার করে," তিনি বলেছেন। "সুতরাং, ক্রোমকে শোষণ করা সম্ভাব্যভাবে এজ ব্যবহারকারীদের টার্গেট করতে পারে এবং খারাপ অভিনেতাদের আরও বিস্তৃত নাগালের অনুমতি দিতে পারে।"
এবং এটি লক্ষ করা উচিত যে ক্রোম ব্যবহার করে অ্যান্ড্রয়েড মোবাইল ডিভাইসগুলির নিজস্ব ঝুঁকি প্রোফাইল রয়েছে; তারা কিছু পরিস্থিতিতে একই রেন্ডারার প্রক্রিয়ায় একাধিক সাইট রাখে, বিশেষ করে এমন ডিভাইসগুলিতে যেগুলিতে প্রচুর RAM নেই।
ব্রাউজারগুলি একটি শীর্ষ সাইবারট্যাকের লক্ষ্য হিসাবে রয়ে গেছে
প্রধান ব্রাউজার বিক্রেতারা সম্প্রতি শূন্য-দিনের বাগগুলির একটি ক্রমবর্ধমান সংখ্যার রিপোর্ট করেছে — গুগল একাই রিপোর্ট করেছে আগস্ট থেকে পাঁচটি.
অ্যাপল, মাইক্রোসফ্ট, এবং ফায়ারফক্স অন্যদের মধ্যে একটি প্রকাশ করেছে সমালোচনামূলক দুর্বলতার সিরিজ তাদের ব্রাউজারে, কিছু শূন্য-দিন সহ।
জোসেফ কারসন, প্রধান নিরাপত্তা বিজ্ঞানী এবং ডেলিনিয়ার উপদেষ্টা সিআইএসও বলেছেন, এতে অবাক হওয়ার কিছু নেই যে সরকারী পৃষ্ঠপোষকতা করা হ্যাকার এবং সাইবার অপরাধীরা জনপ্রিয় সফ্টওয়্যারকে টার্গেট করে, ক্রমাগত শোষণের জন্য দুর্বলতাগুলি অনুসন্ধান করে৷
"এটি সাধারণত সফ্টওয়্যারের ব্যাপক ব্যবহার, একাধিক প্ল্যাটফর্ম, উচ্চ-মূল্যের লক্ষ্যগুলির কারণে একটি বৃহত্তর আক্রমণের পৃষ্ঠের দিকে নিয়ে যায় এবং সাধারণত চেইন আক্রমণ সরবরাহের দরজা খুলে দেয়," তিনি বলেছেন।
তিনি নোট করেছেন যে এই ধরনের দুর্বলতাগুলি অনেক ব্যবহারকারীর জন্য দুর্বল সিস্টেমগুলি আপডেট এবং প্যাচ করতে সময় নেয়।
"অতএব, আক্রমণকারীরা সম্ভবত আগামী অনেক মাস ধরে এই দুর্বল সিস্টেমগুলিকে লক্ষ্যবস্তু করবে," কারসন বলেছেন।
তিনি যোগ করেছেন, "যেহেতু এই দুর্বলতা সক্রিয়ভাবে শোষণ করা হচ্ছে, এর অর্থ সম্ভবত অনেক ব্যবহারকারীর সিস্টেম ইতিমধ্যেই আপস করা হয়েছে এবং লক্ষ্য করা হয়েছে এমন ডিভাইসগুলি সনাক্ত করতে সক্ষম হওয়া এবং সেই সিস্টেমগুলিকে দ্রুত প্যাচ করা গুরুত্বপূর্ণ।"
ফলস্বরূপ, কারসন নোট করেছেন, সংস্থাগুলিকে এই দুর্বলতা সহ সংবেদনশীল সিস্টেমগুলি তদন্ত করা উচিত যে কোনও ঝুঁকি বা সম্ভাব্য উপাদান প্রভাব নির্ধারণ করতে।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- : আছে
- : হয়
- :না
- 2023
- 7
- a
- ক্ষমতা
- সক্ষম
- প্রবেশ
- অর্জন করা
- সক্রিয়
- সক্রিয়ভাবে
- অভিনেতা
- ঠিকানা
- যোগ করে
- উপদেশক
- অনুমতি
- অনুমতি
- একা
- ইতিমধ্যে
- এছাড়াও
- যদিও
- মধ্যে
- an
- বিশ্লেষক
- এবং
- অ্যান্ড্রয়েড
- কোন
- API গুলি
- স্থাপত্য
- রয়েছি
- AS
- At
- আক্রমণ
- আক্রমন
- দূরে
- খারাপ
- ব্যাংকিং
- BE
- হয়েছে
- হচ্ছে
- তার পরেও
- ব্রাউজার
- ব্রাউজার
- বাফার
- বাফার ওভারফ্লো
- নম
- বাগ
- by
- ক্যামেরা
- CAN
- না পারেন
- চেন
- নেতা
- ক্রৌমিয়াম
- ক্রৌমিয়াম
- CISO
- বন্ধ
- কোড
- এর COM
- মিলিত
- আসা
- যোগাযোগ
- সংকটাপন্ন
- সম্মতি
- প্রতিনিয়ত
- পারা
- সংকটপূর্ণ
- সাইবার আক্রমণ
- cybercriminals
- ক্ষতি
- বিপজ্জনক
- উপাত্ত
- মোতায়েন
- নির্ধারণ
- ডিভাইস
- আবিষ্কৃত
- do
- না
- দরজা
- কারণে
- প্রান্ত
- অষ্টম
- পারেন
- সক্রিয়
- অব্যাহতি
- বিশেষত
- এমন কি
- উদাহরণ
- ফাঁসি
- ব্যাখ্যা
- কাজে লাগান
- শোষণ
- শোষিত
- পরশ্রমজীবী
- প্রসারিত
- বৈশিষ্ট্য
- নথি পত্র
- ফায়ারফক্স
- প্রথম
- ত্রুটি
- জন্য
- থেকে
- সাধারণত
- Goes
- গুগল
- Google Chrome
- সরকার
- সরকারী পৃষ্ঠপোষকতা
- ক্রমবর্ধমান
- হ্যাকার
- আছে
- he
- এখানে
- এইচটিএমএল
- HTTPS দ্বারা
- চিহ্নিত
- সনাক্ত করা
- if
- প্রভাব
- প্রভাব
- গুরুত্বপূর্ণ
- in
- অন্যান্য
- সুদ্ধ
- তথ্য
- ইনিশিয়েটিভ
- ইনপুট
- বুদ্ধিমত্তা
- তদন্ত করা
- বিচ্ছিন্নতা
- ইস্যু করা
- IT
- এর
- নিজেই
- জাভাস্ক্রিপ্ট
- JPG
- মাত্র
- বৃহত্তর
- নেতৃত্ব
- নেতৃত্ব
- বিশালাকার
- সম্ভবত
- অনেক
- মেশিন
- প্রস্তুতকর্তা
- ম্যালওয়্যার
- অনেক
- অবস্থানসূচক
- উপাদান
- মানে
- মাইক
- মাইক্রোসফট
- Microsoft Edge
- মোবাইল
- মোবাইল ডিভাইস
- মডিউল
- মাসের
- বহু
- চাহিদা
- না।
- সুপরিচিত
- নোট
- সংখ্যা
- of
- on
- খোলা
- ওপেন সোর্স
- প্রর্দশিত
- or
- সংগঠন
- উত্স
- OS
- অন্যান্য
- অন্যরা
- বাইরে
- বাহিরে
- নিজের
- পৃষ্ঠা
- তালি
- পরিপ্রেক্ষিত
- প্ল্যাটফর্ম
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- পয়েন্ট
- জনপ্রিয়
- সম্ভব
- সম্ভাব্য
- সম্ভাব্য
- প্রক্রিয়া
- প্রোফাইল
- রক্ষা করা
- করা
- দ্রুত
- র্যাম
- নাগাল
- বাস্তব
- প্রকৃত সময়
- সম্প্রতি
- রিলিজ
- থাকা
- দূরবর্তী
- রিপোর্ট
- প্রয়োজন
- গবেষণা
- ফল
- ঝুঁকি
- ঝুঁকি
- চালান
- s
- বলেছেন
- একই
- স্যান্ডবক্স
- বলেছেন
- পরিস্থিতিতে
- বিজ্ঞানী
- অনুসন্ধানের
- নিরাপত্তা
- সংবেদনশীল
- ভাগ
- উচিত
- গুরুত্বপূর্ণ
- থেকে
- সাইট
- সাইট
- So
- সফটওয়্যার
- কিছু
- উৎস
- স্পন্সরকৃত
- শুরু
- ধাপ
- এখনো
- সরবরাহ
- সরবরাহ শৃঙ্খল
- সমর্থন
- পৃষ্ঠতল
- আশ্চর্য
- সিস্টেম
- গ্রহণ করা
- লক্ষ্য
- লক্ষ্যবস্তু
- লক্ষ্যমাত্রা
- যে
- সার্জারির
- তাদের
- সেখানে।
- অতএব
- এইগুলো
- তারা
- এই
- সেগুলো
- যদিও?
- হুমকি
- হুমকির সম্মুখীন
- দ্বারা
- বাঁধা
- সময়
- থেকে
- শীর্ষ
- প্রকৃতপক্ষে
- ধরনের
- সাধারণত
- অধীনে
- একক
- আপডেট
- জরুরী
- ব্যবহার
- ব্যবহার
- ব্যবহারকারী
- ব্যবহারকারী
- ব্যবহারসমূহ
- ব্যবহার
- সাধারণত
- বিক্রেতারা
- শিকার
- দুর্বলতা
- দুর্বলতা
- জেয়
- ওয়েবসাইট
- কখন
- যখন
- ব্যাপকতর
- ব্যাপক
- বন্য
- ইচ্ছা
- সঙ্গে
- মধ্যে
- ছাড়া
- শব্দ
- would
- zephyrnet