ক্রোম 8 সালের 2022 তম শূন্য-দিন ঠিক করে – এখন আপনার সংস্করণ পরীক্ষা করুন

গুগল সবেমাত্র ক্রোমের অষ্টম প্যাচ করেছে শূন্য দিনের গর্ত এখন পর্যন্ত বছরের।

জিরো-ডেগুলি এমন বাগ যার জন্য শূন্য দিন ছিল যা আপনি সক্রিয়ভাবে আপডেট করতে পারতেন...

…কারণ সাইবার অপরাধীরা শুধুমাত্র বাগটিই প্রথম খুঁজে পায়নি, বরং একটি প্যাচ প্রস্তুত ও প্রকাশ করার আগে এটিকে কীভাবে খারাপ উদ্দেশ্যে ব্যবহার করা যায় তাও বের করেছে।

সুতরাং, এই নিবন্ধটির দ্রুত সংস্করণ হল: Chrome-এ যান তিন-বিন্দু মেনু (⋮), বেছে নিন সাহায্য > ক্রোম সম্পর্কে, এবং আপনার সংস্করণ আছে কিনা তা পরীক্ষা করুন 107.0.5304.121 অথবা পরে.

উন্মোচন শূন্য-দিন

দুই দশক আগে, শূন্য-দিনগুলি প্রায়শই খুব দ্রুত ব্যাপকভাবে পরিচিত হয়ে ওঠে, সাধারণত একটি (বা উভয়) দুটি কারণে:

• বাগ শোষণ করার জন্য একটি স্ব-প্রসারণকারী ভাইরাস বা কীট ছেড়ে দেওয়া হয়েছিল। এটি শুধুমাত্র নিরাপত্তার ছিদ্র এবং কীভাবে এটি অপব্যবহার করা হচ্ছে সেদিকে মনোযোগ আকর্ষণ করে না, বরং এটি নিশ্চিত করে যে দূষিত কোডের স্বয়ংসম্পূর্ণ, কার্যকারী কপিগুলি গবেষকদের বিশ্লেষণের জন্য দূর-দূরান্তে বিস্ফোরিত হয়েছে।
• একটি বাগ-শিকারী অর্থ উপার্জনের দ্বারা অনুপ্রাণিত নয় নমুনা কোড প্রকাশ করেছে এবং এটি নিয়ে বড়াই করেছে। আপত্তিজনকভাবে, সম্ভবত, এটি সাইবার অপরাধীদেরকে আক্রমণে ব্যবহার করার জন্য একটি "বিনামূল্য উপহার" হস্তান্তর করে একই সাথে নিরাপত্তার ক্ষতি করেছে, এবং এটি ঠিক করার জন্য গবেষক এবং বিক্রেতাদের আকৃষ্ট করে নিরাপত্তাকে সাহায্য করেছে, বা দ্রুত একটি সমাধান নিয়ে এসেছে৷

আজকাল, জিরো-ডে গেমটি বরং ভিন্ন, কারণ সমসাময়িক প্রতিরক্ষাগুলি সফ্টওয়্যার দুর্বলতাগুলিকে কাজে লাগানো কঠিন করে তোলে।

আজকের প্রতিরক্ষামূলক স্তরগুলির মধ্যে রয়েছে: অপারেটিং সিস্টেমে তৈরি অতিরিক্ত সুরক্ষা; নিরাপদ সফ্টওয়্যার উন্নয়ন সরঞ্জাম; আরো নিরাপদ প্রোগ্রামিং ভাষা এবং কোডিং শৈলী; এবং আরও শক্তিশালী সাইবারথ্রেট প্রতিরোধের সরঞ্জাম।

2000 এর দশকের গোড়ার দিকে, উদাহরণস্বরূপ - অতি দ্রুত ছড়িয়ে পড়া ভাইরাসের যুগ যেমন কোড রেড এবং এসকিউএল স্ল্যামার - প্রায় কোনও স্ট্যাক বাফার ওভারফ্লো, এবং অনেকগুলি যদি বেশিরভাগ হিপ বাফার ওভারফ্লো না হয়, তাত্ত্বিক দুর্বলতাগুলি থেকে দ্রুত ক্রমে ব্যবহারযোগ্য কাজে পরিণত করা যেতে পারে।

অন্য কথায়, শোষণ খুঁজে পাওয়া এবং 0-দিন "ড্রপ" করা কখনও কখনও প্রথম স্থানে অন্তর্নিহিত বাগ খুঁজে বের করার মতোই প্রায় সহজ ছিল।

এবং অনেক ব্যবহারকারীর সাথে চলছে Administrator সব সময় সুযোগ-সুবিধা, কর্মক্ষেত্রে এবং বাড়িতে উভয় ক্ষেত্রেই, আক্রমণকারীদের খুব কমই একটি সংক্রামিত কম্পিউটার সম্পূর্ণরূপে দখল করার জন্য একসাথে শোষণের উপায় খুঁজে বের করার প্রয়োজন হয়।

কিন্তু 2020 এর দশকে, কার্যকর দূরবর্তী কোড নির্বাহ শোষণ – বাগ (বা চেইন অফ বাগ) যা একজন আক্রমণকারী নির্ভরযোগ্যভাবে আপনার কম্পিউটারে ম্যালওয়্যার ইমপ্লান্ট করার জন্য ব্যবহার করতে পারে শুধুমাত্র একটি বোবি-ট্র্যাপড ওয়েবসাইটে একটি একক পৃষ্ঠা দেখার জন্য আপনাকে প্রলুব্ধ করে - সাধারণত খুঁজে পাওয়া অনেক কঠিন, এবং অনেক মূল্যবান ফলে সাইবার আন্ডারগ্রাউন্ডে আরও বেশি টাকা।

সহজ কথায় বলতে গেলে, যারা আজকাল শূন্য-দিনের শোষণের অধিকারী তারা তাদের নিয়ে আর বড়াই করে না।

তারা এগুলিকে আক্রমণে ব্যবহার না করার প্রবণতাও রাখে যা অনুপ্রবেশের "কিভাবে এবং কেন" স্পষ্ট করে তোলে, অথবা এটি শোষণ কোডের কার্যকারী নমুনাগুলি বিশ্লেষণ এবং গবেষণার জন্য সহজেই উপলব্ধ হয়ে উঠতে পারে।

ফলস্বরূপ, শূন্য-দিনগুলি প্রায়শই এই দিনগুলিতে লক্ষ্য করা যায় শুধুমাত্র একটি হুমকি প্রতিক্রিয়া দলকে ইতিমধ্যেই সফল হওয়া আক্রমণের তদন্তে ডাকার পরে, কিন্তু যেখানে সাধারণ অনুপ্রবেশের পদ্ধতিগুলি (যেমন ফিশড পাসওয়ার্ড, অনুপস্থিত প্যাচ, বা ভুলে যাওয়া সার্ভার) মনে হয় না কারণ হয়েছে।

বাফার ওভারফ্লো উন্মুক্ত

এই ক্ষেত্রে, এখন আনুষ্ঠানিকভাবে মনোনীত জন্য CVE-2022-4135, পোকাটি রিপোর্ট করা হয়েছিল Google এর নিজস্ব থ্রেট অ্যানালাইসিস গ্রুপ দ্বারা, কিন্তু সক্রিয়ভাবে পাওয়া যায়নি, যে Google স্বীকার করেছে যে এটি "সচেতন যে একটি শোষণ [...] বন্যের মধ্যে বিদ্যমান।"

দুর্বলতা দেওয়া হয়েছে ক উচ্চ তীব্রতা, এবং সহজভাবে বর্ণনা করা হয়েছে: জিপিইউতে হিপ বাফার ওভারফ্লো.

বাফার ওভারফ্লো সাধারণত বোঝায় যে একটি প্রোগ্রামের একটি অংশ থেকে কোড আনুষ্ঠানিকভাবে বরাদ্দ করা মেমরি ব্লকের বাইরে লেখা হয়, এবং প্রোগ্রামের অন্য কোনো অংশের দ্বারা পরবর্তীতে নির্ভর করা হবে (এবং সেই কারণে পরোক্ষভাবে বিশ্বাস করা হবে) ডেটাকে পদদলিত করে।

আপনি যেমন কল্পনা করতে পারেন, একটি বাফার ওভারফ্লো একটি বিভ্রান্তিকর উপায়ে ট্রিগার করা যেতে পারে যা একটি তাত্ক্ষণিক প্রোগ্রাম ক্র্যাশ এড়াতে পারে তবে অনেক কিছু ভুল হতে পারে।

ওভারফ্লো ব্যবহার করা যেতে পারে, উদাহরণস্বরূপ, প্রোগ্রামের অন্য কোনো অংশ ব্যবহার করতে চলেছে এমন একটি ফাইলের নাম বিষাক্ত করতে, যার ফলে এটি এমন ডেটা লিখতে পারে যেখানে এটি করা উচিত নয়; অথবা একটি নেটওয়ার্ক সংযোগের গন্তব্য পরিবর্তন করতে; অথবা এমনকি মেমরিতে অবস্থান পরিবর্তন করতে যা থেকে প্রোগ্রাম পরবর্তী কোড নির্বাহ করবে।

Google স্পষ্টভাবে বলে না যে এই বাগটি কীভাবে শোষিত হতে পারে (বা করা হয়েছে) তবে এটা ধরে নেওয়া বুদ্ধিমানের কাজ যে কিছু ধরণের রিমোট কোড এক্সিকিউশন, যা মূলত "ম্যালওয়্যারের গোপন ইমপ্লান্টেশন" এর সমার্থক, সম্ভব স্মৃতির অব্যবস্থাপনা জড়িত।

কি করো?

Chrome এবং Chromium-এ আপডেট করা হয় 107.0.5304.121 ম্যাক এবং লিনাক্সে এবং থেকে 107.0.5304.121 or 107.0.5304.122 Windows-এ (না, আমরা জানি না কেন দুটি ভিন্ন সংস্করণ আছে), তাই নিশ্চিত হয়ে নিন যে আপনার কাছে সংস্করণ সংখ্যার সমান বা তার চেয়ে সাম্প্রতিক সংস্করণ রয়েছে।

আপনার ক্রোম সংস্করণ পরীক্ষা করতে, এবং যদি আপনি পিছনে থাকেন তবে একটি আপডেট জোরপূর্বক করতে, এ যান৷ তিন-বিন্দু মেনু (⋮) এবং বেছে নিন সাহায্য > ক্রোম সম্পর্কে.

মাইক্রোসফ্ট এজ, আপনি সম্ভবত জানেন, ক্রোমিয়াম কোড (ক্রোমের ওপেন-সোর্স কোর) এর উপর ভিত্তি করে তৈরি করা হয়েছে, কিন্তু গুগলের হুমকি গবেষকরা এই বাগটি লগ করার আগের দিন থেকে এর কোনো অফিসিয়াল আপডেট নেই (এবং এর কোনো আপডেট নেই) যা স্পষ্টভাবে 2022-11-10 থেকে কোনো নিরাপত্তা সংশোধনের তালিকা করে)।

সুতরাং, আমরা আপনাকে বলতে পারি না যে এজ প্রভাবিত হয়েছে কিনা, বা আপনার এই বাগটির জন্য একটি আপডেট আশা করা উচিত কিনা, তবে আমরা মাইক্রোসফ্টের দিকে নজর রাখার পরামর্শ দিই অফিসিয়াল রিলিজ নোট শুধু ক্ষেত্রে।

---