এই সপ্তাহে প্রকাশিত উইন্ডোজ, ম্যাক এবং লিনাক্সের জন্য গুগলের ক্রোম 105-এর প্রথম স্থিতিশীল চ্যানেল সংস্করণে সফ্টওয়্যারটির পূর্ববর্তী সংস্করণগুলিতে 24টি দুর্বলতার সমাধান রয়েছে, যার মধ্যে একটি "সমালোচনামূলক" ত্রুটি এবং আটটি কোম্পানি "উচ্চ" হিসাবে রেট করেছে। নির্দয়তা.
একটি বহুত্ব — নয়টি — যেগুলিকে Google Chrome 105-এর সাথে সম্বোধন করেছিল তা ছিল তথাকথিত ব্যবহারের পরে-মুক্ত দুর্বলতা, বা ত্রুটিগুলি যা আক্রমণকারীদের দূষিত কোড, দূষিত ডেটা চালানো এবং অন্যান্য দূষিত পদক্ষেপগুলি চালানোর জন্য পূর্বে মুক্ত করা মেমরি স্পেস ব্যবহার করতে দেয়৷ . প্যাচ করা দুর্বলতার মধ্যে চারটি ছিল WebUI এবং স্ক্রিন ক্যাপচার সহ বিভিন্ন Chrome উপাদানে হিপ বাফার-ওভারফ্লো।
আক্রমণকারীরা প্রায়ই বিভিন্ন দূষিত উদ্দেশ্যে বাফার ওভারফ্লো শোষণ করে, যার মধ্যে র্যান্ডম কোড কার্যকর করা, ডেটা ওভাররাইট করা, সিস্টেম ক্র্যাশ করা এবং পরিষেবা-অস্বীকার শর্ত ট্রিগার করা।
ক্লিপবোর্ড ওভাররাইটিং
একটি সমস্যা যা Google ক্লিপবোর্ডের আশেপাশের আপডেট কেন্দ্রগুলিতে ঠিক করেছে বলে মনে হচ্ছে না। ম্যালওয়্যারবাইটস অনুসারে, যখন গুগল ক্রোমের ব্যবহারকারীরা — বা কোনও ক্রোমিয়াম-ভিত্তিক ব্রাউজার — কোনও ওয়েবসাইট ভিজিট করে, সাইটটি ব্যবহারকারীর OS ক্লিপবোর্ডে যে কোনো বিষয়বস্তুকে তাদের ইচ্ছামত পুশ করতে পারে, ব্যবহারকারীর অনুমতি বা কোনো মিথস্ক্রিয়া ছাড়া।
"এর মানে হল যে শুধুমাত্র একটি ওয়েবসাইট পরিদর্শন করে, আপনার ক্লিপবোর্ডের ডেটা আপনার সম্মতি বা জ্ঞান ছাড়াই ওভাররাইট করা হতে পারে," ম্যালওয়্যারবাইটস বলেছেন।
এর ফলে ব্যবহারকারীরা মূল্যবান ডেটা হারাতে পারে যে তারা অন্য কোথাও কাট এবং পেস্ট করতে চেয়েছিল এবং আক্রমণকারীদের ব্যবহারকারীর সিস্টেমে দূষিত কোড লুকিয়ে রাখার জন্য একটি সুযোগ দেয়, নিরাপত্তা বিক্রেতা বলেছেন। ক্রোম এবং ক্রোমিয়াম-ভিত্তিক ব্রাউজারে ব্যবহারকারীদের নির্দিষ্ট পদক্ষেপ যেমন একটি ওয়েবসাইট থেকে ব্যবহারকারীর ক্লিপবোর্ডে বিষয়বস্তু অনুলিপি করার জন্য "Ctrl+C" ব্যবহার করার জন্য কোনও প্রয়োজনীয়তার অনুপস্থিতির সাথে সমস্যাটি করতে হবে, Malwarebytes বলেছেন।
নিরাপত্তা গবেষক জেফ জনসন ক্রোমের সমস্যাটিকে একটি বিস্তৃত সমস্যার অংশ হিসেবে চিহ্নিত করেছেন যা সাফারি এবং ফায়ারফক্স উভয়কেই প্রভাবিত করে যেমন. "ক্রোম বর্তমানে সবচেয়ে খারাপ অপরাধী, কারণ ক্লিপবোর্ডে লেখার জন্য ব্যবহারকারীর অঙ্গভঙ্গির প্রয়োজনীয়তা ঘটনাক্রমে 104 সংস্করণে ভেঙে গেছে," তিনি এই সপ্তাহে একটি প্রতিবেদনে বলেছিলেন।
যাইহোক, বাস্তবতা হল যে ফায়ারফক্স এবং সাফারির মতো অন্যান্য ব্রাউজার ব্যবহারকারীরা ওয়েবসাইটগুলি তাদের সিস্টেম ক্লিপবোর্ডগুলিকে তারা উপলব্ধি করার চেয়ে সহজে ওভাররাইট করতে পারে, জনসন বলেছিলেন। যদিও এই উভয় ব্রাউজার ব্যবহারকারীদের তাদের ক্লিপবোর্ডে ওয়েবসাইটের বিষয়বস্তু অনুলিপি করার জন্য কিছু পদক্ষেপ নেওয়ার প্রয়োজন হয়, কর্মগুলি তাদের কল্পনার চেয়ে অনেক বেশি বিস্তৃত।
উদাহরণ স্বরূপ, স্ক্রিনে ফোকাস করা বা কীডাউন/কিআপ এবং মাউসডাউন/মাউসআপ চাপার মতো ক্রিয়াকলাপ ব্যবহারকারীর অজান্তেই ওয়েবসাইটের বিষয়বস্তু ক্লিপবোর্ডে কপি হয়ে যেতে পারে, জনসন বলেছেন।
গবেষক উল্লেখ করেছেন যে ক্রোম বিকাশকারীরা ইতিমধ্যেই এই সমস্যা সম্পর্কে সচেতন এবং এটিকে সমাধান করছে। Google মন্তব্যের জন্য একটি ডার্ক রিডিং অনুরোধের সাথে সাথে সাড়া দেয়নি।
ডিজিটাল শ্যাডোসের সিনিয়র সাইবার হুমকি বিশ্লেষক ইভান রিঘি বলেছেন, "আক্রমণকারীরা ব্যবহারকারীদের ক্লিপবোর্ডে দূষিত লিঙ্কগুলি অনুলিপি করতে এই বাগটির অপব্যবহার করতে পারে, যার ফলে ব্যবহারকারীরা তাদের ঠিকানা বারে সেই লিঙ্কগুলি আটকে দিতে পারে এবং দুর্ঘটনাক্রমে দূষিত সাইটগুলি অ্যাক্সেস করতে পারে।"
“আরেকটি উপায়ে এই বাগটি কাজে লাগানো যেতে পারে তা হল প্রতারণামূলক ক্রিপ্টোকারেন্সি লেনদেন করা। লেনদেনের জন্য ব্যবহারকারীদের ভুল মানিব্যাগের ঠিকানা প্রবেশ করানোর জন্য হুমকি অভিনেতারা সামাজিক প্রকৌশল আক্রমণের সাথে একত্রে ত্রুটিটি লাভ করতে পারে,” রিঘি বলেছেন। যাইহোক, এই ধরনের আক্রমণ সফল হওয়ার সম্ভাবনা কম কারণ ব্যবহারকারীরা সম্ভবত তাদের ক্লিপবোর্ডে অস্বাভাবিক বিষয়বস্তু দেখতে পাচ্ছেন, তিনি বলেছেন।
ব্যবহারের আধিক্য-পরে-মুক্ত ইস্যু
ইতিমধ্যে, ক্রোম 2022-এর স্থিতিশীল সংস্করণের সাথে Google-কে সম্বোধন করা একমাত্র গুরুতর দুর্বলতা (CVE-3038-105) তার নিজস্ব প্রোজেক্ট জিরো বাগ হান্টিং টিমের নিরাপত্তা গবেষক দ্বারা রিপোর্ট করা হয়েছে: Google Chrome নেটওয়ার্ক পরিষেবায় ব্যবহারের-পরে-মুক্ত ত্রুটি দূরবর্তী আক্রমণকারীরা নির্বিচারে কোড চালানোর একটি উপায়
অথবা একটি অস্ত্রযুক্ত ওয়েবসাইট দেখার জন্য ব্যবহারকারীদের সিস্টেমে পরিষেবার শর্ত অস্বীকার করে।
বহিরাগত বাগ শিকারী এবং নিরাপত্তা গবেষকরা সমস্ত অবশিষ্ট দুর্বলতাগুলি রিপোর্ট করেছেন যা Google এই সপ্তাহে Chrome এ সম্বোধন করেছে৷ তাদের মধ্যে সবচেয়ে ফলপ্রসূ বলে মনে হচ্ছে CVE-2022-3039, WebSQL-এ একটি উচ্চ-তীব্রতার, ব্যবহারকারী-পরে-মুক্ত দুর্বলতা যা চীনের 360 ভালনারেবিলিটি রিসার্চ ইনস্টিটিউটের দুই গবেষক Google-কে রিপোর্ট করেছেন। গবেষকরা Google-এ বাগ রিপোর্ট করার জন্য $10,000 পেয়েছেন - বর্তমান সেটে দেওয়া সর্বোচ্চ পরিমাণ।
ক্রোম লেআউটে আরেকটি উচ্চ-প্রভাব, ব্যবহারের-পরে-মুক্ত ত্রুটি Google-এ সমস্যাটি রিপোর্ট করা বেনামী নিরাপত্তা গবেষকের জন্য $9,000 অর্জন করেছে। অবশিষ্ট বাগগুলির জন্য অনুদান $1,000 থেকে $7,500 পর্যন্ত। Google এখনও চারটি বাগ প্রকাশের জন্য পুরস্কার নির্ধারণ করেনি।
যেমনটি প্রধান বিক্রেতাদের মধ্যে আদর্শ অভ্যাস হয়ে উঠেছে, গুগল বলেছে যে এটি বাগ বিবরণগুলিতে অ্যাক্সেস সীমাবদ্ধ করেছে যতক্ষণ না বেশিরভাগ ব্যবহারকারীরা Chrome এর নতুন, স্থিতিশীল সংস্করণ বাস্তবায়নের সুযোগ পাচ্ছেন।
"আমরা সীমাবদ্ধতা বজায় রাখব যদি বাগটি তৃতীয় পক্ষের লাইব্রেরিতে বিদ্যমান থাকে যেটির উপর অন্যান্য প্রকল্পগুলি একইভাবে নির্ভর করে তবে এখনও ঠিক করা হয়নি," গুগল চলতি সপ্তাহে এক ব্লগে এ কথা জানিয়েছে. মাইক্রোসফ্টের একজন সিনিয়র সিকিউরিটি এক্সিকিউটিভ সম্প্রতি একই কারণ ব্যবহার করেছিলেন ব্যাখ্যা করুন কেন মাইক্রোসফ্টের বাগ প্রকাশে স্বল্প বিবরণ রয়েছে এই দিনগুলি.
ব্যবহারকারীরা Chrome 105-এর স্থিতিশীল সংস্করণে আপডেট করতে চাইলে বাগ সংশোধনগুলি প্রায় নিশ্চিতভাবেই প্রাথমিক কারণ, নতুন ব্রাউজার সংস্করণটি কিছু অতিরিক্ত বৈশিষ্ট্যও প্রবর্তন করে। এই অন্তর্ভুক্ত বৈশিষ্ট্যগুলি যেগুলি বিকাশকারীদের উইন্ডোজ নিয়ন্ত্রণ বোতাম যুক্ত করতে দেয় — যেমন প্রগতিশীল ওয়েব অ্যাপগুলিতে বন্ধ করা, বড় করা বা কম করা —, Android-এ Chrome-এর জন্য একটি নতুন পিকচার-ইন-পিকচার API, এবং Chrome-এর নেভিগেশন API-তে উন্নতি।
