রিচার্নার সোফস অ্যান্টিভাইরাস প্রোজেক্টের মধ্যে গুরুতর দুর্বলতা খুঁজে বের করে

নিরাপত্তা গবেষক ট্যাভিস অরমেডি যুক্তরাজ্যের ভিত্তিক নিরাপত্তা সংস্থার সোফস দ্বারা উন্নত এন্টিভাইরাস প্রোডাক্টের জটিল দুর্বলতা আবিষ্কার করেন এবং সংস্থাগুলিকে পরামর্শ দেন গুরুতর সিস্টেমের পণ্য ব্যবহার না করা যদি না বিক্রেতার তার পণ্য উন্নয়ন, গুণমান নিশ্চিতকরণ এবং নিরাপত্তা প্রতিক্রিয়া প্রথা উন্নত।

Ormandy, যিনি গুগল একটি তথ্য নিরাপত্তা ইঞ্জিনিয়ার হিসাবে কাজ করে, তিনি " Sophail: Sophos বিরোধী বিরুদ্ধে আপ্লিষ্ট আক্রমণ ভাইরাস "যে সোমবার প্রকাশিত হয়েছিল। Ormandy লক্ষনীয় যে গবেষণা তার অতিরিক্ত সময় সঞ্চালিত হয় এবং যে কাগজে প্রকাশিত মতামত তার নিজস্ব এবং না তার নিয়োগকর্তার যারা।

কাগজ মধ্যে Sophos অ্যান্টিভাইরাস কোড ভিসুয়াল বেসিক 6 পড়ার জন্য দায়ী বিভিন্ন দুর্বলতা সম্পর্কে বিস্তারিত রয়েছে, পিডিএফ, সিএবি এবং আরআর ফাইলগুলি। এই ত্রুটিগুলির কিছু দূরবর্তী আক্রমণ করা যেতে পারে এবং সিস্টেমে আভ্যন্তরীণ কোডটি চালানো হতে পারে।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

Ormandy এমনকি একটি প্রমাণ অফ-ধারণা শোষণ অন্তর্ভুক্ত পিডিএফ প্যাডিং দুর্বলতা যা তিনি দাবি করে কোন ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন হয় না, কোনও প্রমাণীকরণ নেই এবং সহজেই একটি স্ব-বিস্তৃত কীটপতঙ্গের মধ্যে রূপান্তরিত হতে পারে।

গবেষক সোফোস অ্যান্টিভাইরাসের ম্যাক সংস্করণটির জন্য শোষণ তৈরি করেছেন, কিন্তু লক্ষ করেছেন যে দুর্বলতাটিও প্রভাবিত করে উইন্ডোজ এবং লিনাক্স সংস্করণগুলি এবং সেগুলি ব্যবহার করা সহজেই ঐ প্ল্যাটফর্মে অনুবাদ করা যায়।

কেবলমাত্র Outlook বা Mail.app- এ একটি ইমেল প্রাপ্ত করার মাধ্যমে পিডিএফ প্যাশিং দুর্বলতা শোষিত হতে পারে, অরমেডি কাগজে বলেন। কারণ Sophos অ্যান্টিভাইরাস স্বয়ংক্রিয়ভাবে ইনপুট এবং আউটপুট (I / O) অপারেশনগুলি আটকায়, ইমেল খোলার বা পড়ার প্রয়োজন হয় না।

"বিশ্বব্যাপী নেটওয়ার্ক কীটের জন্য সবচেয়ে বাস্তবসম্মত আক্রমণের দৃশ্যটি ইমেলের মাধ্যমে স্ব-প্রচারিত হয়", Ormandy said। "কোনও ব্যবহারকারীদের ইমেলের সাথে যোগাযোগ করার প্রয়োজন নেই, কারণ দুর্বলতাটি স্বয়ংক্রিয়ভাবে শোষিত হবে।"

তবে অন্য আক্রমণের পদ্ধতিগুলিও সম্ভব - উদাহরণস্বরূপ, কোনও আক্রমণকারীর দ্বারা প্রদত্ত যে কোনও ফাইল খোলার মাধ্যমে; একটি URL (এমনকি স্যান্ডবক্সযুক্ত ব্রাউজারে) দেখার জন্য, অথবা MIME সিড ব্যবহার করে ইমেজগুলি এম্বেড করা হচ্ছে: একটি ওয়েবমেইল ক্লায়েন্টে যে URL খোলা আছে তার URL গুলি, গবেষক বলেন "যে কোনও পদ্ধতিতে এই আক্রমণকারীটি I / O এই দুর্বলতা কাজে লাগাতে যথেষ্ট কারণ ব্যবহার করতে পারে।"

Ormandy এছাড়াও পাওয়া যায় যে "বফার ওভারফ্লো সুরক্ষা সিস্টেম" (BOPS) নামে একটি উপাদান যা Sophos অ্যান্টিভাইরাস সঙ্গে bundled, ASLR অক্ষম করে (অ্যাড্রেস স্পেস লেআউট রেন্ডারাইজেশান) সব উইন্ডোজ ভার্সনকে বন্ধন বৈশিষ্ট্য ব্যবহার করে যা ডিফল্টভাবে এটি সমর্থন করে এবং ভিস্তা সহ পরে।

"এএসএলআর সিস্টেমটি অকার্যকর করার জন্য এটি সহজেই অপ্রত্যাশিত নয়, বিশেষ করে গ্রাহকদের জন্য একটি অদ্ভুত বিকল্প বিক্রি করার জন্য "মাইক্রোসফ্ট কর্তৃক প্রদেয় কার্যকরীভাবে দরিদ্র," অরমেডি বলেন।

সফোস অ্যান্টিভাইরাস দ্বারা ইন্টারনেট এক্সপ্লোরারের জন্য একটি ওয়েবসাইট ব্ল্যাকলিস্টিং কম্পোনেন্ট ব্রাউজারের সুরক্ষিত মোড বৈশিষ্ট্য দ্বারা প্রদত্ত সুরক্ষা বাতিল করে দেয়, গবেষক বলেন। উপরন্তু, ব্ল্যাকলিস্টিং উপাদান দ্বারা সতর্কবার্তা প্রদর্শনের জন্য ব্যবহৃত টেমপ্লেটটি একটি সর্বজনীন ক্রস-সাইট স্ক্রিপ্টিং দুর্বলতার সূচনা করে যা ব্রাউজারের একই মূল পলিসিকে পরাজিত করে।

একই মূল পলিসি হল "মৌলিক নিরাপত্তা ব্যবস্থার একটি যা ইন্টারনেটটিকে নিরাপদ করে তোলে ব্যবহার, "Ormandy বলেন। "একই মূল পলিসিটি পরাজিত হলে, একটি দূষিত ওয়েবসাইট আপনার মেল, ইন্ট্রানেট সিস্টেম, রেজিস্ট্রার, ব্যাঙ্কস এবং প্যারোল সিস্টেমের সাথে ইন্টারঅ্যাক্ট করতে পারে।"

পুরো কাগজ জুড়ে অরমেডি মন্তব্য করে যে এই দুর্বলতাগুলি ধরা পড়েছে পণ্য উন্নয়ন এবং গুণমান নিশ্চিতকরণ প্রক্রিয়ার সময়।

গবেষক Sophos সঙ্গে তার ফলাফল অগ্রিম ভাগ করে এবং কোম্পানী কাগজে প্রকাশিত দুর্বলতা জন্য নিরাপত্তা সংশোধন মুক্তি। অক্টোবর ২২ তারিখে কিছু সংশোধন করা হয়েছে, অন্যরা 5 নভেম্বর মুক্তি পায়, সোমবার একটি ব্লগ পোস্টে কোম্পানিটি জানিয়েছে।

অরমেনি কর্তৃক আবিষ্কৃত কিছু সম্ভাব্য ব্যবহারযোগ্য সমস্যাগুলি- একটি নিরাপত্তা পরীক্ষার মাধ্যমে পদ্ধতি - যে Sophos সঙ্গে ভাগ করা হয়েছিল, কিন্তু প্রকাশ্যে প্রকাশ করা হয় নি। এই বিষয়গুলি পরীক্ষা করা হচ্ছে এবং তাদের জন্য ফিক্সগুলি ২8 শে নভেম্বর শুরু হতে শুরু করবে, কোম্পানী বলছে।

"নিরাপত্তা সংস্থা হিসেবে, সোফোসের প্রাথমিক দায়িত্ব গ্রাহকদের নিরাপদ রাখা," সোফস বলেন। "ফলস্বরূপ, সোফোস বিশেষজ্ঞ সকল দুর্বলতার প্রতিবেদনগুলি পরীক্ষা করে এবং কঠোর সময়কালের মধ্যে সর্বোত্তম সময়সীমা বাস্তবায়ন করে।"

"এটা ভাল যে সফফস কয়েক সপ্তাহের মধ্যেই সমাধানগুলির স্যুট প্রদান করতে সক্ষম হয়েছে এবং গ্রাহকদের ব্যাহত না করে "স্বাভাবিক অপারেশন," গ্রাহাম ক্লুলে, সোফসের একজন সিনিয়র প্রযুক্তি পরামর্শক, মঙ্গলবার মঙ্গলবার ইমেল মাধ্যমে। "আমরা কৃতজ্ঞ যে Tavis Ormandy দুর্বলতা খুঁজে পেয়েছে, কারণ এর ফলে Sophos এর পণ্যগুলি আরও ভাল করে তুলতে সাহায্য করেছে।"

যাইহোক, অরমেডি যখন সোফসকে রিপোর্ট করেছিলেন তখন তিনি যে গুরুতর দুর্বলতাগুলি নিয়েছিলেন তা নিয়ে সন্তুষ্ট ছিলেন না। তিনি বলেন, 10 সেপ্টেম্বর কোম্পানির কাছে এই বিষয়গুলি রিপোর্ট করা হয়েছিল।

"এই রিপোর্টে প্রথম দিকে প্রবেশের প্রতিক্রিয়ায়, সোফস আলোচনা করা বিষয়গুলি সমাধান করার জন্য কিছু সম্পদ বরাদ্দ করেছে, তবে তাদের স্পষ্টভাবে নিখুঁতভাবে সজ্জিত করা হয়েছে এক সহযোগী, অ-প্রতিক্রিয়ার নিরাপত্তা গবেষক, "অরমেডি বলেন। "একটি অত্যাধুনিক রাষ্ট্র-স্পন্সর বা অত্যন্ত অভিপ্রায় আক্রমণকারী সম্পূর্ণ সোফোস ব্যবহারকারী বেস সহজে ধ্বংস করতে পারে।"

"সোফাস দাবি করেছে যে তাদের পণ্যগুলি স্বাস্থ্যসেবা, সরকার, অর্থসংস্থান ও এমনকি সামরিক বাহিনীতে নিয়োজিত রয়েছে"। "একটি প্রেরিত আক্রমণকারী এই বিশৃঙ্খলা এই সিস্টেমের কারণ হতে পারে একটি বাস্তবসম্মত বিশ্বব্যাপী হুমকি। এই কারণেই, সোফস পণ্যগুলিকে শুধুমাত্র কম মানের অ-জটিল সিস্টেমের জন্য বিবেচনা করা উচিত এবং নেটওয়ার্ক বা পরিবেশে কোনও তদারকি করা যাবে না যেখানে প্রতিক্রিয়াদের দ্বারা সম্পূর্ণ আপস অসুবিধাজনক হবে। "

Ormandy এর কাগজের একটি অধ্যায় রয়েছে যা সেরা অভ্যাস এবং Sophos গ্রাহকদের জন্য গবেষক এর সুপারিশ অন্তর্ভুক্ত, যেমন সামঞ্জস্যপূর্ণ পরিকল্পনা বাস্তবায়ন করা তাদের সংক্ষিপ্ত নোটিশ উপর Sophos অ্যান্টিভাইরাস ইনস্টলেশনের অক্ষম করতে সক্ষম হবেন।

"Sophos কেবল কর্মক্ষেত্রে শোষণের সঙ্গে উপস্থাপন করা হয়, এমনকি যখন আক্রমণ প্রতিরোধ করার জন্য দ্রুত যথেষ্ট প্রতিক্রিয়া করা যাবে না," তিনি বলেন । "একজন আক্রমণকারী সোফোস অ্যান্টিভাইরাস ব্যবহার করে আপনার নেটওয়ার্কে তাদের নোট হিসাবে ব্যবহার করা উচিত, সোফস কেবলমাত্র কিছু সময়ের জন্য তাদের অবিরত অনুপ্রবেশের প্রতিরোধ করতে সক্ষম হবে না, এবং আপনি যদি Sophos স্থাপন করা চালিয়ে যেতে চান তবে এই দৃশ্যকল্পটি পরিচালনা করার জন্য আপনাকে আঞ্চলিক পরিকল্পনাগুলি প্রয়োগ করতে হবে।"