ফায়ারফক্স পূর্ণস্ক্রীনের জাল ত্রুটি সংশোধন করেছে – এখনই আপডেট পান!

Firefox-এর সর্বশেষ নিরাপত্তা আপডেট প্রতি চার সপ্তাহে একবার, জনপ্রিয় বিকল্প ব্রাউজারটিকে সংস্করণে নিয়ে আসছে 107.0, বা এক্সটেন্ডেড সাপোর্ট রিলিজ (ESR) 102.5 আপনি যদি প্রতি মাসে নতুন ফিচার রিলিজ পেতে না চান।

(যেমন আমরা আগে ব্যাখ্যা করেছি, ESR সংস্করণ নম্বর আপনাকে বলে যে আপনার কাছে কোন বৈশিষ্ট্য সেট আছে, এবং তারপর থেকে এটিতে কতবার নিরাপত্তা আপডেট হয়েছে, যেটি আপনি 102+5 = 107 লক্ষ্য করে এই মাসে পুনরায় সংযোজন করতে পারেন।)

সৌভাগ্যবশত, এই সময় কোনো শূন্য-দিনের প্যাচ নেই - সবই ফিক্স-লিস্টে দুর্বলতা হয় দায়বদ্ধভাবে বহিরাগত গবেষকদের দ্বারা প্রকাশ করা হয়েছে, অথবা Mozilla এর নিজস্ব বাগ হান্টিং টিম এবং টুলস দ্বারা পাওয়া গেছে।

ফন্ট এন্টাঙ্গলমেন্ট

সর্বোচ্চ তীব্রতা মাত্রা উচ্চ, যা সাতটি ভিন্ন বাগের ক্ষেত্রে প্রযোজ্য, যার মধ্যে চারটি মেমরির অব্যবস্থাপনার ত্রুটি যা একটি প্রোগ্রাম ক্র্যাশ হতে পারে, সহ জন্য CVE-2022-45407, যা একজন আক্রমণকারী একটি ফন্ট ফাইল লোড করে শোষণ করতে পারে।

ফন্ট ফাইল ব্যবহারের সাথে সম্পর্কিত বেশিরভাগ বাগ এই কারণে ঘটে যে ফন্ট ফাইলগুলি জটিল বাইনারি ডেটা স্ট্রাকচার, এবং অনেকগুলি ভিন্ন ফাইল ফর্ম্যাট রয়েছে যা পণ্যগুলিকে সমর্থন করবে বলে আশা করা হয়।

এর মানে হল যে ফন্ট-সম্পর্কিত দুর্বলতাগুলি সাধারণত ইচ্ছাকৃতভাবে একটি বুবি-ট্র্যাপড ফন্ট ফাইলকে ব্রাউজারে খাওয়ানোর সাথে জড়িত যাতে এটি প্রক্রিয়া করার চেষ্টা করার সময় ভুল হয়ে যায়।

কিন্তু এই বাগটি ভিন্ন, কারণ একজন আক্রমণকারী ক্র্যাশ ট্রিগার করতে একটি বৈধ, সঠিকভাবে গঠিত ফন্ট ফাইল ব্যবহার করতে পারে।

বাগটি বিষয়বস্তু দ্বারা নয়, সময়ের দ্বারা ট্রিগার করা যেতে পারে: যখন এক্সিকিউশনের পৃথক ব্যাকগ্রাউন্ড থ্রেড দ্বারা একই সময়ে দুটি বা ততোধিক ফন্ট লোড করা হয়, তখন ব্রাউজার এটি প্রক্রিয়াজাত করা ফন্টগুলিকে মিশ্রিত করতে পারে, সম্ভাব্যভাবে ফন্ট A থেকে ডেটা খণ্ড X তে স্থাপন করে। ফন্ট B থেকে ডাটা খণ্ড Y এর জন্য স্থান বরাদ্দ করা হয়েছে এবং এর ফলে মেমরি নষ্ট হচ্ছে।

মোজিলা এটিকে একটি হিসাবে বর্ণনা করে "সম্ভাব্য শোষণযোগ্য ক্র্যাশ", যদিও এমন কোন পরামর্শ নেই যে কেউ, একজন আক্রমণকারীকে ছেড়ে দিন, কীভাবে এই ধরনের শোষণ তৈরি করা যায় তা এখনও বের করতে পারেনি।

ফুলস্ক্রিন ক্ষতিকর বলে বিবেচিত

সবচেয়ে আকর্ষণীয় বাগ, অন্তত আমাদের মতে, হয় জন্য CVE-2022-45404, সংক্ষেপে সহজভাবে বর্ণনা করা হয়েছে a "পূর্ণ স্ক্রীন বিজ্ঞপ্তি বাইপাস".

আপনি যদি ভাবছেন কেন এই ধরণের একটি বাগ এর তীব্রতা স্তরকে ন্যায্যতা দেবে উচ্চ, এর কারণ হল একটি ব্রাউজার উইন্ডোতে স্ক্রিনের প্রতিটি পিক্সেলের উপর নিয়ন্ত্রণ দেওয়া যা অবিশ্বস্ত HTML, CSS এবং JavaScript দ্বারা জনবহুল এবং নিয়ন্ত্রিত হয়...

…সেখানে যে কোনো বিশ্বাসঘাতক ওয়েবসাইট অপারেটরদের জন্য আশ্চর্যজনকভাবে সুবিধাজনক হবে।

আমরা তথাকথিত সম্পর্কে আগে লিখেছি ব্রাউজার-ইন-দ্য-ব্রাউজার, বা BitB, আক্রমণ, যেখানে সাইবার অপরাধীরা একটি ব্রাউজার পপআপ তৈরি করে যা একটি অপারেটিং সিস্টেম উইন্ডোর চেহারা এবং অনুভূতির সাথে মেলে, এইভাবে সিস্টেমের নিরাপত্তা হস্তক্ষেপ হিসাবে পাসওয়ার্ড প্রম্পটের মতো কিছু বিশ্বাস করার জন্য আপনাকে প্রতারণা করার একটি বিশ্বাসযোগ্য উপায় প্রদান করে। নিজেই:

BitB কৌশলগুলি সনাক্ত করার একটি উপায় হল একটি পপআপ টেনে আনার চেষ্টা করা যা আপনি ব্রাউজারের নিজস্ব উইন্ডো থেকে নিশ্চিত নন।

যদি পপআপটি ব্রাউজারের অভ্যন্তরে কোরাল করা থাকে, যাতে আপনি এটিকে স্ক্রিনে নিজের একটি জায়গায় স্থানান্তর করতে না পারেন, তবে এটি স্পষ্টতই সিস্টেম দ্বারা তৈরি একটি প্রকৃত পপআপের পরিবর্তে আপনি যে ওয়েব পৃষ্ঠাটি দেখছেন তার একটি অংশ। নিজেই

কিন্তু বাহ্যিক বিষয়বস্তুর একটি ওয়েব পৃষ্ঠা যদি আগে থেকে কোনো সতর্কতা উস্কে না দিয়ে স্বয়ংক্রিয়ভাবে পুরো ডিসপ্লে দখল করতে পারে, তাহলে আপনি হয়তো বুঝতে পারবেন না আপনি যা দেখেন তা বিশ্বাস করা যায় না, তা যতই বাস্তবসম্মত হোক না কেন।

ছিমছাম বদমাশরা, উদাহরণস্বরূপ, একটি নকল ব্রাউজার উইন্ডোর ভিতরে একটি নকল অপারেটিং সিস্টেম পপআপ আঁকতে পারে, যাতে আপনি প্রকৃতপক্ষে পর্দায় "সিস্টেম" ডায়ালগটি টেনে আনতে পারেন এবং নিজেকে বোঝাতে পারেন যে এটিই আসল চুক্তি।

অথবা বদমাশরা ইচ্ছাকৃতভাবে সর্বশেষ সচিত্র পটভূমি প্রদর্শন করতে পারে (এর মধ্যে একটি কি দেখতে পছন্দ কর? লগইন স্ক্রিনের জন্য Windows দ্বারা নির্বাচিত ছবিগুলি, এইভাবে একটি পরিমাপ চাক্ষুষ পরিচিতি প্রদান করে, এবং এর ফলে আপনি অসাবধানতাবশত স্ক্রীনটি লক করে রেখেছিলেন এবং ফিরে আসার জন্য পুনরায় প্রমাণীকরণের প্রয়োজন ছিল বলে আপনাকে প্রতারণা করে।

আমরা ইচ্ছাকৃতভাবে অন্যথায় অব্যবহৃত কিন্তু সহজে পাওয়া যায় এমন ম্যাপ করেছি PrtSc তাৎক্ষণিকভাবে স্ক্রীন লক করতে আমাদের লিনাক্স ল্যাপটপের কী, এটিকে একটি সহজ হিসাবে পুনরায় ব্যাখ্যা করেস্ক্রীন রক্ষা করুন এর পরিবর্তে বোতাম প্রিন্ট স্ক্রিন. এর মানে আমরা যতই সংক্ষিপ্ত সময়ের জন্য যাই না কেন আমরা প্রতিবার হাঁটতে বা সরে যাওয়ার সময় একটি থাম্ব-ট্যাপ দিয়ে কম্পিউটারটিকে নির্ভরযোগ্য এবং দ্রুত লক করতে পারি। আমরা অনিচ্ছাকৃতভাবে এটি প্রায়শই চাপি না, তবে এটি সময়ে সময়ে ঘটে।

কি করো?

আপনি আপ টু ডেট কিনা তা পরীক্ষা করুন, যা ল্যাপটপ বা ডেস্কটপ কম্পিউটারে একটি সাধারণ বিষয়: সাহায্য > ফায়ারফক্স সম্পর্কে (অথবা অ্যাপল মেনু > সম্পর্কে) কৌশলটি করবে, একটি ডায়ালগ পপ আপ করবে যা আপনাকে বলে যে আপনি বর্তমান আছেন কি না, এবং যদি আপনি এখনও ডাউনলোড করেননি এমন একটি নতুন সংস্করণ পাওয়া যায়।

মোবাইল ডিভাইসে, আপনি যে সফ্টওয়্যার মার্কেটপ্লেস ব্যবহার করেন তার জন্য অ্যাপটি দেখুন (যেমন গুগল প্লে অ্যান্ড্রয়েড এবং অ্যাপল অ্যাপ স্টোর iOS এ) আপডেটের জন্য।

(লিনাক্স এবং বিএসডিতে, আপনার একটি ফায়ারফক্স বিল্ড থাকতে পারে যা আপনার ডিস্ট্রো দ্বারা সরবরাহ করা হয়েছে; যদি তাই হয়, সর্বশেষ সংস্করণের জন্য আপনার ডিস্ট্রো রক্ষণাবেক্ষণকারীর সাথে যোগাযোগ করুন।)

মনে রাখবেন, এমনকি যদি আপনার স্বয়ংক্রিয় আপডেট চালু থাকে এবং এটি সাধারণত নির্ভরযোগ্যভাবে কাজ করে, তবুও এটি পরীক্ষা করা মূল্যবান, এটি নিশ্চিত করতে মাত্র কয়েক সেকেন্ড সময় নেয় যে কিছুই ভুল হয়নি এবং সর্বোপরি আপনাকে অরক্ষিত রেখে গেছে।

---