ক্রোম জরুরী শূন্য-দিনের সমস্যা সমাধান করে – এখনই আপডেট করুন!

গুগল এই সপ্তাহের শুরুতে ক্রোম এবং ক্রোমিয়াম ব্রাউজার কোডের জন্য একগুচ্ছ নিরাপত্তা সংশোধন করেছে…

…শুধুমাত্র একই দিনে সাইবারসিকিউরিটি কোম্পানি Avast-এর গবেষকদের কাছ থেকে একটি দুর্বলতার রিপোর্ট পাওয়ার জন্য।

গুগল এর প্রতিক্রিয়া ছিল ধাক্কা আউট আরেকটি আপডেট যত তাড়াতাড়ি এটা সম্ভব: একটি এক-বাগ সমাধান মোকাবেলা CVE-2022-3723, Google-এর প্রথার সাথে বর্ণনা করা হয়েছে আমরা-নাই-নিশ্চিত-অস্বীকার করতে পারি না এই বলে:

Google রিপোর্ট সম্পর্কে সচেতন যে CVE-2022-3723 এর জন্য একটি শোষণ বন্য অঞ্চলে বিদ্যমান।

(অ্যাপলও নিয়মিতভাবে OMG-এভরিবডি-এর-একটি-0-দিনের বিজ্ঞপ্তির অনুরূপ বিচ্ছিন্ন স্বাদ ব্যবহার করে, এমন শব্দ ব্যবহার করে যে এটি "একটি প্রতিবেদন সম্পর্কে সচেতন যে [একটি] সমস্যা সক্রিয়ভাবে শোষণ করা হয়েছে"।)

এই ক্রোম আপডেট মানে আপনি এখন এর একটি সংস্করণ নম্বর খুঁজছেন 107.0.5304.87 অথবা পরে.

বিভ্রান্তিকরভাবে, এটি ম্যাক বা লিনাক্সে আশা করা সংস্করণ নম্বর, যখন উইন্ডোজ ব্যবহারকারীরা পেতে পারেন 107.0.5304.87 or 107.0.5304.88, এবং, না, আমরা জানি না কেন সেখানে দুটি ভিন্ন সংখ্যা আছে।

এটি মূল্য কি জন্য, এই নিরাপত্তা গর্ত কারণ হিসাবে বর্ণনা করা হয়েছে "V8 এ টাইপ কনফিউশন", যা জার্গন এর জন্য "জাভাস্ক্রিপ্ট ইঞ্জিনে একটি শোষণযোগ্য বাগ ছিল যা অবিশ্বস্ত কোড এবং অবিশ্বস্ত ডেটা দ্বারা ট্রিগার হতে পারে যা দৃশ্যত নির্দোষভাবে বাইরে থেকে এসেছিল"।

ঢিলেঢালাভাবে বলতে গেলে, এর মানে এটা প্রায় নিশ্চিত যে শুধুমাত্র একটি বোবি-ট্র্যাপড ওয়েবসাইট পরিদর্শন করা এবং দেখা - এমন কিছু যা আপনাকে নিজে থেকে ক্ষতির পথে নিয়ে যেতে পারে না - কোনো পপআপ ছাড়াই আপনার ডিভাইসে দুর্বৃত্ত কোড চালু করতে এবং ম্যালওয়্যার ইমপ্লান্ট করার জন্য যথেষ্ট হতে পারে। বা অন্যান্য ডাউনলোড সতর্কতা।

যেটি সাইবার ক্রাইম স্ল্যাং হিসাবে পরিচিত ড্রাইভ দ্বারা ইনস্টল.

"প্রতিবেদন সম্পর্কে সচেতন"

আমরা অনুমান করছি যে, একটি সাইবারসিকিউরিটি কোম্পানি এই দুর্বলতার কথা জানিয়েছে, এবং একটি এক-বাগ আপডেটের প্রায় অবিলম্বে প্রকাশনা দেওয়া হয়েছে, যে ত্রুটিটি একটি গ্রাহকের কম্পিউটার বা নেটওয়ার্কে অনুপ্রবেশের সক্রিয় তদন্তের সময় উন্মোচিত হয়েছিল।

একটি অপ্রত্যাশিত বা অস্বাভাবিক ব্রেক-ইন করার পরে, যেখানে সুস্পষ্ট প্রবেশ পথগুলি কেবল লগগুলিতে প্রদর্শিত হয় না, হুমকি শিকারীরা সাধারণত তাদের নিষ্পত্তিতে সনাক্তকরণ-এবং-প্রতিক্রিয়া লগগুলির তীক্ষ্ণ বিবরণের দিকে ফিরে যায়, সিস্টেমকে একত্রিত করার চেষ্টা করে- কি ঘটেছে স্তরের সুনির্দিষ্ট.

প্রদত্ত যে ব্রাউজার রিমোট কোড এক্সিকিউশন (RCE) শোষণের মধ্যে প্রায়শই অবিশ্বস্ত কোড চালানো জড়িত থাকে যা একটি অপ্রত্যাশিত উপায়ে একটি অবিশ্বস্ত উত্স থেকে এসেছে এবং কার্যকর করার একটি নতুন থ্রেড চালু করেছে যা সাধারণত লগগুলিতে প্রদর্শিত হবে না...

...পর্যাপ্ত বিশদ ফরেনসিক "হুমকির প্রতিক্রিয়া" ডেটাতে অ্যাক্সেস শুধুমাত্র অপরাধীরা কীভাবে প্রবেশ করেছিল তা প্রকাশ করতে পারে না, তবে ঠিক কোথায় এবং কীভাবে সিস্টেমে তারা নিরাপত্তা সুরক্ষাগুলিকে বাইপাস করতে সক্ষম হয়েছিল যা সাধারণত জায়গায় থাকবে।

সহজ কথায়, এমন একটি পরিবেশে পিছনের দিকে কাজ করা যেখানে আপনি একটি আক্রমণ বারবার চালাতে পারেন এবং এটি কীভাবে প্রকাশ পায় তা প্রায়শই একটি শোষণযোগ্য দুর্বলতার অবস্থান প্রকাশ করবে, যদি সঠিক কাজ না হয়।

এবং, আপনি যেমন কল্পনা করতে পারেন, খড়ের গাদা থেকে নিরাপদে একটি সুই অপসারণ করা অনেক বেশি, অনেক সহজ যদি আপনার কাছে খড়ের গাদায় সমস্ত সূক্ষ্ম ধাতব বস্তুর মানচিত্র থাকে।

সংক্ষেপে, আমরা বলতে চাচ্ছি যে Google যখন বলে "এটি রিপোর্ট সম্পর্কে সচেতন" বাস্তব জীবনে ক্রোমকে কাজে লাগিয়ে শুরু করা আক্রমণের, আমরা অনুমান করতে প্রস্তুত যে আপনি এটিকে অনুবাদ করতে পারেন "বাগটি বাস্তব, এবং এটি সত্যিই শোষণ করা যেতে পারে, কিন্তু যেহেতু আমরা বাস্তব জীবনে হ্যাক করা সিস্টেমটি নিজেরাই তদন্ত করিনি, আমরা এখনও নিরাপদ স্থলে আছি যদি আমরা সরাসরি না এসে বলি, 'আরে, সবাই, এটা 0-দিন'। "

এই ধরণের বাগ আবিষ্কার সম্পর্কে ভাল খবর হল যে তারা সম্ভবত এইভাবে উন্মোচিত হয়েছিল কারণ আক্রমণকারীরা দুর্বলতা এবং এটিকে কাজে লাগানোর জন্য প্রয়োজনীয় কৌশলগুলি উভয়ই গোপন রাখতে চেয়েছিল, জেনেছিল যে কৌশলটি নিয়ে বড়াই করা বা এটিকে খুব বেশি ব্যবহার করা তার আবিষ্কারকে ত্বরান্বিত করবে এবং এইভাবে লক্ষ্যবস্তু আক্রমণে এর মান সংক্ষিপ্ত করে।

আজকের ব্রাউজার RCE শোষণগুলি আবিস্কার করা অত্যন্ত জটিল এবং অর্জন করা ব্যয়বহুল হতে পারে, মোজিলা, মাইক্রোসফ্ট, অ্যাপল এবং গুগলের মতো সংস্থাগুলি তাদের ব্রাউজারগুলিকে অবাঞ্ছিত কোড এক্সিকিউশন কৌশলগুলির বিরুদ্ধে কঠোর করার জন্য কতটা প্রচেষ্টা করেছে তা বিবেচনা করে।

অন্য কথায়, Google-এর দ্রুত প্যাচিং সময়, এবং এই সত্য যে বেশিরভাগ ব্যবহারকারীরা দ্রুত এবং স্বয়ংক্রিয়ভাবে আপডেটটি পাবেন (বা অন্তত আধা-স্বয়ংক্রিয়ভাবে), এর মানে হল যে আমরা বাকিরা এখন শুধু বদমাশদের ধরতে পারব না, কিন্তু ফিরে আসতে পারব। তাদের সামনে।

কি করো?

যদিও Chrome সম্ভবত নিজেকে আপডেট করবে, তবুও আমরা সবসময় চেক করার পরামর্শ দিই।

উপরে উল্লিখিত হিসাবে, আপনি খুঁজছেন 107.0.5304.87 (ম্যাক এবং লিনাক্স), বা এর মধ্যে একটি 107.0.5304.87 এবং 107.0.5304.88 (উইন্ডোজ)।

ব্যবহার অধিক > সাহায্য > গুগল ক্রোম সম্পর্কে > গুগল ক্রোম আপডেট করুন.

ব্রাউজারের ওপেন-সোর্স ক্রোমিয়াম স্বাদ, অন্তত লিনাক্সে, বর্তমানে সংস্করণে রয়েছে 107.0.5304.87.

(যদি আপনি লিনাক্সে ক্রোমিয়াম ব্যবহার করেন বা BSD-এর মধ্যে একটি ব্যবহার করেন, তাহলে সর্বশেষ সংস্করণ পেতে আপনাকে আপনার ডিস্ট্রো মেকারের সাথে আবার চেক করতে হতে পারে।)

আমরা নিশ্চিত নই যে ক্রোমের অ্যান্ড্রয়েড সংস্করণ প্রভাবিত হয়েছে কিনা এবং যদি তাই হয় তাহলে কোন সংস্করণ নম্বরের দিকে নজর দিতে হবে৷

আপনি Google-এ Android-এর জন্য যেকোন আসন্ন আপডেটের ঘোষণা দেখতে পারেন ক্রোম রিলিজ ব্লগ।

আমরা অনুমান করছি যে iOS এবং iPadOS-এ Chrome-ভিত্তিক ব্রাউজারগুলি প্রভাবিত হয় না, কারণ সমস্ত Apple App Store ব্রাউজারগুলি Apple-এর WebKit ব্রাউজিং সাবসিস্টেম ব্যবহার করতে বাধ্য হয়, যা Google-এর V8 JavaScript ইঞ্জিন ব্যবহার করে না৷

মজার বিষয় হল, লেখার সময় [2022-10-29T14:00:00Z], এজ-এর জন্য মাইক্রোসফটের রিলিজ নোট 2022-10-27 তারিখের একটি আপডেট বর্ণনা করেছে (গবেষকরা এই বাগটি রিপোর্ট করার দুই দিন পরে), কিন্তু তা হয়নি CVE-2022-3723 সেই বিল্ডের নিরাপত্তা সংশোধনগুলির একটি হিসাবে তালিকাভুক্ত করুন, যা নম্বরযুক্ত ছিল 107.0.1418.24.

আমরা তাই অনুমান করছি যে এর চেয়ে বড় যেকোন এজ সংস্করণের সন্ধান করা ইঙ্গিত করবে যে মাইক্রোসফ্ট এই গর্তের বিরুদ্ধে একটি আপডেট প্রকাশ করেছে।

আপনি মাইক্রোসফ্টের মাধ্যমে এজ প্যাচগুলিতে আপনার নজর রাখতে পারেন প্রান্ত নিরাপত্তা আপডেট পাতা.

---