"ncurses" নামে একটি বহুল ব্যবহৃত প্রোগ্রামিং লাইব্রেরি দূষিত গ্রেমলিন দ্বারা আক্রান্ত হয় — একাধিক মেমরি দুর্নীতির দুর্বলতার আকারে যা আক্রমণকারীদের macOS, Linux, এবং FreeBSD-এ চলমান অ্যাপ্লিকেশনগুলিকে লক্ষ্য করার একটি উপায় দেয়৷
মাইক্রোসফ্টের গবেষকরা লাইব্রেরির দুর্বলতাগুলি উন্মোচন করেছেন, যা মূলত পাঠ্য-ভিত্তিক ব্যবহারকারী ইন্টারফেস এবং টার্মিনাল অ্যাপ্লিকেশনগুলির জন্য API সরবরাহ করে। ক প্রযুক্তিগত প্রতিবেদন এই সপ্তাহে, কোম্পানির থ্রেট ইন্টেলিজেন্স টিমের গবেষকরা বাগগুলিকে ডেটা ফাঁস, বিশেষাধিকার বৃদ্ধি এবং নির্বিচারে কোড সম্পাদনের অনুমতি হিসাবে বর্ণনা করেছেন।
"ncurses লাইব্রেরিতে দুর্বলতাগুলি আবিষ্কার করার পরে, আমরা রক্ষণাবেক্ষণকারী, থমাস ই. ডিকি এবং অ্যাপলের সাথে প্ল্যাটফর্ম জুড়ে সমস্যাগুলি সমাধান করা হয়েছে তা নিশ্চিত করার জন্য কাজ করেছি," গবেষকরা বলেছেন। "ncurses লাইব্রেরিতে দুর্বলতাগুলিকে কাজে লাগালে ব্যবহারকারীদের জন্য উল্লেখযোগ্য পরিণতি হতে পারে, আক্রমণকারীদের একটি লক্ষ্যযুক্ত প্রোগ্রামের প্রেক্ষাপটে কোড চালানোর সুবিধাগুলি উন্নত করা এবং মূল্যবান ডেটা এবং সংস্থানগুলি অ্যাক্সেস বা সংশোধন করার মতো দূষিত ক্রিয়া সম্পাদন করতে দেয়।"
ব্যবহারকারীদের জন্য উল্লেখযোগ্য পরিণতি
লাইব্রেরি ncurses প্রথম উপলব্ধ হয় 1993 সালে। বিভিন্ন প্ল্যাটফর্মের প্রোগ্রামাররা এটি তুলনামূলকভাবে ব্যাপকভাবে ব্যবহার করে টার্মিনাল ব্যবহারকারী ইন্টারফেস এবং ইন্টারফেস উন্নয়নশীল পাঠ্য মোডে। লাইব্রেরি টার্মিনাল ইউজার ইন্টারফেস অ্যাপ্লিকেশনের জন্য উইন্ডোজ তৈরি, টেক্সট ম্যানিপুলেট, ইউজার ইনপুট, কালার এবং অন্যান্য ব্যবহারের ক্ষেত্রে ফাংশন প্রদান করে।
মাইক্রোসফ্ট যে দুর্বলতাগুলি আবিষ্কার করেছিল তা ছিল ncurses সংস্করণ 6.4 20230408 এবং তার আগের সমস্ত মেমরি দুর্নীতির সমস্যা। এখন-প্যাচ করা ত্রুটিগুলি বিশেষভাবে আক্রমণকারীদের হেরফের করার একটি উপায় দিয়েছে — বা বিষ — TERMINFO নামক একটি পরিবেশ পরিবর্তনশীল যা ncurses ব্যবহার করে একটি টার্মিনালের সক্ষমতা খোঁজার জন্য এবং HOME নামে আরেকটি যা ব্যবহারকারীর হোম ডিরেক্টরির পথ বর্ণনা করে৷
An পরিবেশ সূচক একটি ভেরিয়েবল যার মান একটি প্রোগ্রামে হার্ডকোড করার প্রয়োজন নেই। উদাহরণস্বরূপ, হোম এনভায়রনমেন্ট ভেরিয়েবল একটি নির্দিষ্ট ব্যবহারকারীর সিস্টেমে হোম ডিরেক্টরির অবস্থান নির্দিষ্ট করে। রান-টাইমে একটি প্রোগ্রাম লেবেলের সাথে সম্পর্কিত তথ্য বা মান খুঁজতে হোম এনভায়রনমেন্ট ভেরিয়েবল ব্যবহার করবে। এনভায়রনমেন্ট ভেরিয়েবলগুলি প্রতিবার কনফিগারেশন তথ্য পরিবর্তনের সময় অ্যাপ্লিকেশন পরিবর্তনের প্রয়োজনীয়তাকে সীমিত করে যেমনটি কখনও কখনও হয় যখন একটি অ্যাপ বিভিন্ন পরিবেশে এবং বিভিন্ন ব্যবহারকারীদের দ্বারা ব্যবহার করা হয়।
সুপরিচিত টেকনিক
কমন এনভায়রনমেন্ট ভেরিয়েবল পয়জনিং হল একটি সুপরিচিত আক্রমণ কৌশল যেখানে আক্রমণকারীরা পরিবেশ পরিবর্তনশীল তথ্যকে এমনভাবে পরিবর্তন করে যাতে প্রয়োগের আচরণকে নেতিবাচকভাবে প্রভাবিত করে বা এটি ক্র্যাশ করে। সাধারণ লক্ষ্যগুলির মধ্যে রয়েছে বিশেষাধিকার বৃদ্ধি, স্বেচ্ছাচারী কোড কার্যকর করা এবং পরিষেবার শর্ত অস্বীকার করা। যেমন মাইক্রোসফ্ট গবেষকরা তাদের ব্লগে ব্যাখ্যা করেছেন, অতীতে পরিবেশের পরিবর্তনশীল বিষক্রিয়ার জন্য দুর্বলতার একাধিক উদাহরণ রয়েছে।
একটি উদাহরণ গবেষকরা নির্দেশ করেছেন জন্য CVE-2023-22809, sudo কমান্ড-লাইন ইউটিলিটির একটি দুর্বলতা যা ইউনিক্স-এর মতো পরিবেশে ব্যবহারকারীদের, ম্যাকওএস সহ, উন্নত সুবিধা সহ প্রোগ্রামগুলি চালানোর অনুমতি দেয়। সুডোর এডিটর ভেরিয়েবল ব্যবহারকারী-প্রদত্ত পরিবেশ ভেরিয়েবলগুলিকে কীভাবে পরিচালনা করে এবং মূলত আক্রমণকারীদের সিস্টেমে নির্বিচারে ফাইল লেখার একটি উপায় দেয় তা থেকে দুর্বলতা তৈরি হয়েছিল।
কিভাবে ncurses অভিশাপ অপসারণ
মাইক্রোসফ্ট ncurses মধ্যে মোট পাঁচটি মেমরি দুর্নীতির দুর্বলতা আবিষ্কার করেছে যা এই ধরনের পরিবর্তনশীল বিষের জন্য অনুমতি দেয়। লাইব্রেরির রক্ষণাবেক্ষণকারী দুর্বলতার জন্য একটি প্যাচ জারি করেছে যা সম্মিলিতভাবে চিহ্নিত করা হয়েছে জন্য CVE-2023-29491. ডেভেলপারদের নিশ্চিত করতে হবে যে তাদের লাইব্রেরিগুলো আপ-টু-ডেট আছে।
মাইক্রোসফ্ট গবেষকরা ncurses দুর্বলতার সাথে সম্পর্কিত macOS নির্দিষ্ট সমস্যাগুলি সমাধান করার জন্য অ্যাপলের নিরাপত্তা দলের সাথেও কাজ করেছেন। আপেল 8 সেপ্টেম্বর একটি আপডেট প্রকাশ ম্যাকওএস মন্টেরির জন্য যে সমস্যাটি আবিষ্কার এবং রিপোর্ট করার জন্য মাইক্রোসফ্টকে স্বীকার করেছে — ব্যবহারকারীদের তাদের OS সংস্করণ আপডেট করা উচিত যাতে তারা আক্রমণ থেকে সুরক্ষিত থাকে। কোম্পানিটি সাইবার আক্রমণকারীদের সম্ভাব্যভাবে চলমান অ্যাপ্লিকেশনগুলি বন্ধ করার বা প্রভাবিত সিস্টেমে স্বেচ্ছাচারী কোড চালানোর একটি উপায় হিসাবে বর্ণনা করেছে।
এদিকে, লাল টুপি CVE-2023-29491 একটি মাঝারি তীব্রতার হুমকি হিসাবে মূল্যায়ন করা হয়েছে। "একটি দুর্বলতা ncurses পাওয়া গেছে এবং একটি setuid অ্যাপ্লিকেশন দ্বারা ব্যবহৃত যখন ঘটে," কোম্পানি বলেছে. "এই ত্রুটি স্থানীয় ব্যবহারকারীদের $HOME/.terminfo-এ পাওয়া টার্মিনফো ডাটাবেস ফাইলে বা TERMINFO বা TERM এনভায়রনমেন্ট ভেরিয়েবলের মাধ্যমে পৌঁছানো ত্রুটিপূর্ণ ডেটার মাধ্যমে নিরাপত্তা-প্রাসঙ্গিক মেমরি দুর্নীতিকে ট্রিগার করতে দেয়।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- চার্টপ্রাইম। ChartPrime এর সাথে আপনার ট্রেডিং গেমটি উন্নত করুন। এখানে প্রবেশ করুন.
- ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/application-security/microsoft-flushes-out-ncurses-gremlins
- : হয়
- :কোথায়
- $ ইউপি
- 7
- 8
- a
- প্রবেশ
- স্বীকৃত
- দিয়ে
- স্টক
- সম্ভাষণ
- পর
- সব
- অনুমতি
- অনুমতি
- অনুমতি
- এছাড়াও
- an
- এবং
- অন্য
- API গুলি
- অ্যাপ্লিকেশন
- আপেল
- আবেদন
- অ্যাপ্লিকেশন
- রয়েছি
- AS
- মূল্যায়ন
- যুক্ত
- At
- আক্রমণ
- সহজলভ্য
- মূলত
- BE
- হয়ে ওঠে
- হয়েছে
- আচরণ
- ব্লগ
- বাগ
- by
- নামক
- ক্ষমতা
- কেস
- মামলা
- কারণ
- পরিবর্তন
- কোড
- সম্মিলিতভাবে
- সাধারণ
- কোম্পানি
- পরিবেশ
- কনফিগারেশন
- ফল
- প্রসঙ্গ
- দুর্নীতি
- পারা
- Crash
- তৈরি করা হচ্ছে
- উপাত্ত
- ডেটাবেস
- সেবা দিতে অস্বীকার করা
- বর্ণিত
- বিভিন্ন
- আবিষ্কৃত
- আবিষ্কার
- doesn
- e
- সম্পাদক
- উবু
- elevating
- নিশ্চিত করা
- পরিবেশ
- পরিবেশের
- তীব্রতাবৃদ্ধি
- প্রতি
- উদাহরণ
- এক্সিকিউট
- ফাঁসি
- ব্যাখ্যা
- পরশ্রমজীবী
- ফাইল
- নথি পত্র
- প্রথম
- পাঁচ
- ত্রুটি
- সংক্রান্ত ত্রুটিগুলি
- জন্য
- ফর্ম
- পাওয়া
- FreeBSD
- থেকে
- ক্রিয়াকলাপ
- দিলেন
- দাও
- দান
- গোল
- হ্যান্ডলিং
- আছে
- হোম
- কিভাবে
- HTTPS দ্বারা
- চিহ্নিত
- in
- অন্তর্ভুক্ত করা
- সুদ্ধ
- প্রভাব
- তথ্য
- ইনপুট
- বুদ্ধিমত্তা
- ইন্টারফেস
- ইন্টারফেসগুলি
- মধ্যে
- সমস্যা
- ইস্যু করা
- সমস্যা
- IT
- JPG
- লেবেল
- লিকস
- লাইব্রেরি
- লাইব্রেরি
- মত
- LIMIT টি
- লিনাক্স
- স্থানীয়
- অবস্থান
- দেখুন
- MacOS এর
- করা
- হেরফের
- পদ্ধতি
- মধ্যম
- স্মৃতি
- মাইক্রোসফট
- মোড
- পরিবর্তন
- পরিবর্তন
- বহু
- প্রয়োজন
- নেতিবাচকভাবে
- স্মরণীয়
- of
- on
- or
- OS
- অন্যান্য
- বাইরে
- গত
- তালি
- পথ
- সম্পাদন করা
- প্ল্যাটফর্ম
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- বিষ
- সম্ভাব্য
- পূর্বে
- সুবিধা
- বিশেষাধিকার
- কার্যক্রম
- প্রোগ্রামাররা
- প্রোগ্রামিং
- প্রোগ্রাম
- রক্ষিত
- উপলব্ধ
- RE
- পৌঁছেছে
- সংশ্লিষ্ট
- অপেক্ষাকৃতভাবে
- অপসারণ
- প্রতিবেদন
- গবেষকরা
- স্থিরপ্রতিজ্ঞ
- Resources
- চালান
- দৌড়
- s
- বলেছেন
- নিরাপত্তা
- সেপ্টেম্বর
- সেবা
- উচিত
- নির্দিষ্ট
- বিশেষভাবে
- কান্ডযুক্ত
- এমন
- নিশ্চিত
- পদ্ধতি
- সিস্টেম
- লক্ষ্য
- লক্ষ্যবস্তু
- টীম
- মেয়াদ
- প্রান্তিক
- পাঠ
- যে
- সার্জারির
- তাদের
- সেখানে।
- তারা
- এই
- এই সপ্তাহ
- হুমকি
- সময়
- থেকে
- মোট
- ট্রিগার
- ট্রিগারিং
- উন্মোচিত
- আলোচ্য সময় পর্যন্ত
- আপডেট
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহারকারী ইন্টারফেস
- ব্যবহারকারী
- ব্যবহারসমূহ
- উপযোগ
- দামি
- মূল্য
- পরিবর্তনশীল
- সংস্করণ
- মাধ্যমে
- দুর্বলতা
- দুর্বলতা
- ছিল
- উপায়..
- we
- সপ্তাহান্তিক কাল
- সুপরিচিত
- ছিল
- কখন
- যে
- যাহার
- ব্যাপকভাবে
- জানালা
- সঙ্গে
- কাজ করছে
- would
- লেখা
- zephyrnet