মাইক্রোসফট ইন্টারনেট কিল-বিট বাইপাস আক্রমণকে ফিক্স করতে আসছে

মাইক্রোসফট ইন্টারনেট এক্সপ্লোরারের ব্রাউজারে একটি গুরুত্বপূর্ণ নিরাপত্তা ব্যবস্থাকে বাইপাস করার উপায় আবিষ্কারের পর গবেষকরা উইন্ডোজ অপারেটিং সিস্টেমের জন্য জরুরী প্যাচ প্রকাশ করতে বাধ্য হয়েছিলেন।

এই সপ্তাহে লাস ভেগাসের ব্ল্যাক হ্যাট কনফারেন্সে বুধবার আলাপকালে গবেষকরা মার্ক ডাউড, রেন স্মিথ এবং ডেভিড ডেভি বাগি ActiveX নিয়ন্ত্রণগুলি নিষ্ক্রিয় করার জন্য ব্যবহৃত 'kill-bit' যন্ত্রকে বাইপাস করার একটি উপায় দেখাবে। স্মৃতি দ্বারা পোস্ট করা একটি ভিডিও বিক্ষোভ দেখায় যে গবেষকরা কীভাবে বাইপাস করতে সক্ষম হচ্ছেন, যা ActiveX নিয়ন্ত্রণগুলির জন্য পরীক্ষা করে যা উইন্ডোজ চালানোর অনুমতি দেয় না। তারা তখন শিকারের কম্পিউটারে অননুমোদিত প্রোগ্রাম চালানোর জন্য একটি বাগি ActiveX নিয়ন্ত্রণ কাজে লাগাতে সক্ষম হয়েছিল।

যদিও গবেষকরা তাদের কাজের পিছনে প্রযুক্তিগত বিবরণ প্রকাশ করেননি, তবে এই বাগটি একটি বড় চুক্তি হতে পারে, হ্যাকারদের একটি উপায়

[আরও পঠন: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার মুছে ফেলার পদ্ধতি]

"এটি বিশাল কারণ তারপর আপনি যে বক্সে নিয়ন্ত্রণ করতে পারবেন তা নিয়ন্ত্রণ করতে পারবেন। শ্যাভিক টেকনোলজিসের সাথে চীফ টেকনোলজি অফিসার ইরিক শ্যুলেজ বলেন, "সুতরাং একটি খারাপ ওয়েবসাইট পরিদর্শন করে [অপরাধীরা] আমি চাইলেও কিছু করতে পারি যদিও আমি প্যাচটি প্রয়োগ করেছি।"

মাইক্রোসফ্ট সাধারণত এই হত্যাকান্ডের নির্দেশাবলীকে ইন্টারনেট এক্সপ্লোরারকে দ্রুতগতির আক্রমণের মাধ্যমে দ্রুতগতিতে বাগদাদকে কাজে লাগানোর জন্য ActiveX সফটওয়্যার উইন্ডোজ রেজিস্টিটি অ্যাক্টিভক্সকে অনন্য সংখ্যাগুলিকে নিয়ন্ত্রণ করে, যা GUIDs (বিশ্বব্যাপী অনন্য শনাক্তকারী) বলে। বিট মেকানিজম উইন্ডোজ রেজিস্ট্রিতে কিছু GUID গুলি ব্ল্যাকলিস্ট করে যাতে উপাদানগুলি চালানো যায় না।

বিষয়গুলির সাথে পরিচিত উত্সগুলির মতে, মাইক্রোসফট মঙ্গলবার বাগটির জরুরি প্যাচ মুক্তির অস্বাভাবিক পদক্ষেপ গ্রহণ করছে। মাইক্রোসফট শুধুমাত্র এই "আউট অফ চক্র" প্যাচ মুক্তি যখন হ্যাকার বাস্তব বিশ্বের আক্রমণের মধ্যে ত্রুটি শোষণের হয়। কিন্তু এই ক্ষেত্রে তথ্যটির গোপন তথ্য এখনও গোপন রয়েছে এবং মাইক্রোসফট বলছে যে হামলাগুলিতে হামলা করা হচ্ছে না।

"মাইক্রোসফটকে সত্যিই ভয় পেতো", শুল্জ বলেন, - চক্রের প্যাচ।

এটি মাইক্রোসফটের জন্য একটি অশুভ জনসম্পর্কের সমস্যা প্রতিফলিত হতে পারে, যা সাম্প্রতিক বছরগুলিতে নিরাপত্তা গবেষকদের সাথে আরো ঘনিষ্ঠভাবে কাজ করছে। যদি মাইক্রোসফ্ট তাদের নিয়মিত নির্ধারিত প্যাচগুলির পরবর্তী সেট না হওয়া পর্যন্ত গবেষকরা তাদের বক্তব্য বন্ধ রাখতে বলেছিলেন - 11 অগাস্টের জন্য - ব্ল্যাকআউট গবেষণাকে দমন করার জন্য কোম্পানির প্রতিক্রিয়া হতে পারে।

মাইক্রোসফট নিজে কয়েকটি প্রদান করেছে জরুরী প্যাচগুলির বিবরণ, যা মঙ্গলবার বিকেলে সকাল 10 টায় প্রকাশ করা হবে।

গতকাল শুক্রবার, কোম্পানিটি বলেছে এটি ইন্টারনেট এক্সপ্লোরারের জন্য একটি জটিল ফিক্স এবং সেই সাথে সংশ্লিষ্ট ভিসুয়াল স্টুডিও প্রকাশের পরিকল্পনা করেছে। প্যাচকে "মধ্যপন্থী" বলা হয়।

যাইহোক, যে সমস্যাটি গবেষকদের বায়োট-বিট পদ্ধতিটি বাইপ করে দেয়, তা ব্যাপকভাবে ব্যবহৃত উইন্ডোজ কম্পোনেন্টের মধ্যে থাকতে পারে যা সক্রিয় টেমপ্লেট লাইব্রেরী (ATL) নামে পরিচিত। নিরাপত্তার গবেষক হালভর ফ্লেকের মতে, এই সমস্যাটি মাইক্রোসফট এই মাসের আগে চিহ্নিত একটি ActiveX বাগের জন্য দায়ী। মাইক্রোসফট 14 ই জুলাই সমস্যাটির জন্য একটি মারাত্মক বিট প্যাচ জারি করে, কিন্তু বাগের সন্ধানের পরে, ফ্লেক নির্ধারিত করে যে প্যাচ অন্তর্নিহিত দুর্বলতার সমাধান করে নি।

ব্ল্যাক হ্যাট এ উপস্থাপক এক গবেষক রায়ান স্মিথ রিপোর্ট করেছেন এই ত্রুটিটি মাইক্রোসফটকে এক বছরেরও বেশি সময় আগে এবং ব্ল্যাক হ্যাট আলাপের সময় এই ত্রুটি নিয়ে আলোচনা করা হবে। সূত্রগুলি সোমবার নিশ্চিত করেছে।

মাইক্রোসফ্টের মুখপাত্র বলার চেষ্টা করেন যে, কতগুলি ActiveX নিয়ন্ত্রণগুলি খুন-বিট ব্যবস্থার মাধ্যমে সুরক্ষিত আছে যা কোম্পানির "এই সমস্যা সম্পর্কে শেয়ার করার জন্য অতিরিক্ত তথ্য নেই," প্যাচ মুক্ত হওয়া পর্যন্ত। কিন্তু Schutze বলেন যে যথেষ্ট যে মঙ্গলবার প্যাচ যত তাড়াতাড়ি সম্ভব প্রয়োগ করা উচিত। "যদি আপনি এটিকে প্রয়োগ না করেন, তাহলে আপনি 30 টি প্যাচ আনইনস্টল করেছেন," তিনি বলেন।

স্মিথ এই গল্পের জন্য মন্তব্য করতে অস্বীকৃতি জানিয়ে বলেছিলেন যে তার ব্ল্যাক হ্যাট টক এর আগে বিষয়টি নিয়ে আলোচনা করার অনুমতি দেওয়া হয়নি। আইবিএমের জন্য উপস্থাপনার কাজে জড়িত অন্যান্য দুই গবেষক এবং আইবিএম তাদের সোমবার মন্তব্যের জন্য প্রস্তুত করতে অস্বীকার করেছে, কোম্পানির মুখপাত্র জেনিফার কনিচ নিশ্চিত করেছেন যে বুধবার ব্ল্যাক হ্যাট টক মাইক্রোসফটের মঙ্গলবারের প্যাচগুলির সাথে সম্পর্কিত।