কিভাবে ভাঙা বাষ্প URL টি শর্টকাট ফিক্স
আক্রমণকারীরা ব্রাউজার এবং অন্যান্য অ্যাপ্লিকেশানগুলিকে হ্রাসের পদ্ধতিতে অপব্যবহার করতে পারে: // প্ল্যাটফর্মের মাধ্যমে ইনস্টল করা স্টিম ক্লায়েন্ট বা গেমগুলিতে গুরুতর দুর্বলতা নিরূপণ করার জন্য // প্রোটোকল ইউআরএলগুলি, থেকে গবেষকরা প্রারম্ভকালীন দুর্বলতা গবেষণা এবং পরামর্শদাতা সংস্থা ReVuln।
বাষ্প গেমস জন্য একটি জনপ্রিয় ডিজিটাল বিতরণ এবং ডিজিটাল অধিকার ব্যবস্থাপনা প্ল্যাটফর্ম এবং, এই মাসের শুরুতে, অন্যান্য সফ্টওয়্যার পণ্য। ওয়ালভা কর্পোরেশনের মতে, প্ল্যাটফর্মটি বিকশিত ও পরিচালনা করে এমন কোম্পানী, স্টিম ২,000 টি শিরোনাম অফার করে এবং 40 মিলিয়ন সক্রিয় অ্যাকাউন্ট রয়েছে।
বাষ্প ক্লায়েন্ট উইন্ডোজ, ম্যাক ওএস এক্স এবং লিনাক্সে চালাতে পারে, যদিও এটি একটি বিটা সংস্করণ পরে অপারেটিং সিস্টেমের মধ্যে।
[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার মুছে ফেলার পদ্ধতি]যখন একটি স্টিম ক্লায়েন্ট সিস্টেমে ইনস্টল করা হয় তখন এটি নিজেই একটি বাষ্প হিসাবে নিবন্ধিত হয়: // URL প্রোটোকল হ্যান্ডলার। এর মানে হল যে প্রত্যেকবার একটি ব্যবহারকারী একটি বাষ্পে ক্লিক করে: // একটি ব্রাউজারের URL বা অন্য একটি অ্যাপ্লিকেশন, URLটি এক্সিকিউশনের জন্য স্টিম ক্লায়েন্টে প্রেরিত হয়।
বাষ্প: // URL গুলি স্টিম প্রটোকল ইনস্টল করতে বা কমান্ডগুলি ধারণ করতে পারে গেমগুলি আনইনস্টল করুন, গেমগুলি আপডেট করুন, নির্দিষ্ট প্যারামিটারগুলির সাথে গেমগুলি শুরু করুন, ব্যাকআপ ফাইলগুলি বা অন্যান্য সমর্থিত কর্ম সঞ্চালন করুন।
আক্রমণকারীরা এই কমান্ডগুলিকে অপ্রত্যাশিতভাবে বাষ্প ক্লায়েন্টের দুর্বলতাকে কাজে লাগিয়ে বা একটি সিস্টেমে ইনস্টল করা বাষ্প গেমগুলি ব্যবহারকারীদের অপ্রত্যাশিতভাবে প্রবক্তা করার চেষ্টা করে crafted steam: // URL গুলি, ReVuln নিরাপত্তা গবেষক এবং প্রতিষ্ঠাতা Luigi Auriemma এবং Donato Ferrante সোমবার প্রকাশিত গবেষণা পত্রিকায় বলেন।
সমস্যা হল যে কিছু ব্রাউজার এবং অ্যাপ্লিকেশনগুলি স্বয়ংক্রিয়ভাবে বাষ্প পাস: // অনুরোধ না করে স্টেম ক্লায়েন্ট URL গুলি ব্যবহারকারীদের থেকে নিশ্চিতকরণ, গবেষকরা বলেন। অন্যান্য ব্রাউজার ব্যবহারকারীর অনুরোধের অনুরোধ করে, কিন্তু সম্পূর্ণ URL গুলিকে প্রদর্শন করে না বা এই ধরনের URL গুলি কার্যকর করার বিপদ সম্পর্কে সতর্ক করে দেয়।
ReVuln গবেষকরা, ইন্টারনেট এক্সপ্লোরার 9, গুগল ক্রোম এবং অপেরা প্রদর্শন সতর্কবার্তা দ্বারা পরিচালিত পরীক্ষার মতে এবং পূর্ণ বা আংশিক বাষ্প: // তাদের এক্সিকিউশন জন্য স্টিম ক্লায়েন্ট যাও পাস করার আগে URL গুলি। ফায়ারফক্স ব্যবহারকারীর কনফার্মেশনের অনুরোধ করে কিন্তু ইউআরএলটি প্রদর্শন করে না এবং কোন সতর্কতা প্রদান করে না, তবে Safari স্বয়ংক্রিয়ভাবে বাষ্প চালায়: // ইউজার কনফার্মেশন ছাড়া URL গুলি। গবেষকরা বলেছিলেন।
"সমস্ত ব্রাউজার যা বাহ্যিক URL হ্যান্ডলারগুলি সরাসরি সতর্কবাণী ছাড়াই চালায় এবং মোজিলা ইঞ্জিন (ফায়ারফক্স এবং সিমোঙ্কি) এর মত যারা নিখুঁত বাষ্প ব্রাউজার প্রোটোকল কলগুলি সম্পাদন করতে একটি নিখুঁত ভেক্টর, "গবেষকরা বলেছিলেন। "অতিরিক্ত ইন্টারনেট এক্সপ্লোরার এবং অপেরা ব্রাউজারের জন্য এটি ইউআরএল এর ভঙ্গুর অংশটি বামের মধ্যে কয়েকটি স্পেস যুক্ত করে সতর্কবার্তা প্রদর্শন করা সম্ভব:" // URL "।
ব্যবহারকারীদেরকে ম্যানুয়ালি ঠাঁটানোর পাশাপাশি দুর্বৃত্ত বাষ্পে ক্লিক করুন: // URL গুলি, আক্রমণকারীরা এই ধরনের URL গুলিতে ব্রাউজার পুনঃনির্দেশিত করতে দূষিত পৃষ্ঠাগুলিতে লোডেড JavaScript কোড ব্যবহার করতে পারে, মঙ্গলবার মঙ্গলবার লুইজি আরিমেমা জানিয়েছে।
ব্রাউজারগুলি যা বাষ্পের জন্য ব্যবহারকারীর সুরক্ষার প্রয়োজন: // ডিফল্ট ডিফল্ট ডিফল্ট সাধারণত এই আচরণ পরিবর্তন করার জন্য ব্যবহারকারীদের একটি বিকল্প প্রদান করুন এবং স্বয়ংক্রিয়ভাবে স্টিম ক্লায়েন্ট দ্বারা স্বয়ংক্রিয়ভাবে URL গুলি চালানো হবে, আরিমেমা বলেন। "এটি অত্যন্ত সম্ভব যে বেশিরভাগ গেমার ইতিমধ্যেই ব্রাউজারে সরাসরি বোমাবাজি: // লিংকগুলি সব সময় নিশ্চিত করার বিরক্তিকে এড়িয়ে যেতে পরিচালিত করে।"
গবেষকরা একটি ভিডিও প্রকাশ করেছেন যা তারা দেখায় যে কীভাবে বাষ্প: // URLগুলি সেগুলি স্টিম ক্লায়েন্টে পাওয়া কিছু দুর্বলতাগুলি দূর করতে ব্যবহার করা যেতে পারে এবং জনপ্রিয় গেমস।
উদাহরণস্বরূপ, স্টিম প্রোটোকলের "রিস্ট্রোলল" কমান্ডটি একটি বিকৃত TGA স্প্ল্যাশ ইমেজ ফাইলটি লোড করতে ব্যবহার করা যেতে পারে যা স্টেম ক্লায়েন্টের দুর্বলতাকে তার প্রক্রিয়াটির প্রেক্ষিতে বিদ্বেষপূর্ণ কোড চালানোর জন্য ব্যবহার করে। ।
একটি ভিন্ন উদাহরণে, একটি বাষ্প: // URL উইন্ডোজ স্টার্টআপ ফোল্ডারের ভিতরে আক্রমণকারী-নিয়ন্ত্রিত সামগ্রী সহ একটি.bat ফাইল লেখার জন্য Valve এর সোর্স গেম ইঞ্জিনে পাওয়া বৈধ কমান্ড চালানোর জন্য ব্যবহার করা যেতে পারে। ব্যবহারকারীর লগইন করার সময় উইন্ডোজ স্টার্টআপ ডাইরেক্টরিতে অবস্থিত ফাইলগুলো স্বয়ংক্রিয়ভাবে চালানো হয়।
উত্স খেলা ইঞ্জিন অনেক জনপ্রিয় গেমস যেমন হাফ-লাইফ, কাউন্টার স্ট্রাইক এবং টিম দুর্গ সহ লক্ষ লক্ষ খেলোয়াড় রয়েছে।
অসাধারণ নামে আরেকটি জনপ্রিয় গেম ইঞ্জিন কমান্ড লাইন পরামিতিগুলির মাধ্যমে রিমোট ওয়েবডিএইভ অথবা এসএমবি শেয়ার্ড ডাইরেক্টরিতে ফাইল লোড করার জন্য সমর্থন করে। রেগুন্যাল স্টাম্প: // ইউআরএল এমন একটি স্থান থেকে দূষিত ফাইলটি লোড করতে ব্যবহার করা যেতে পারে যা অনেকগুলি পূর্ণসংখ্যা ওভারফ্লো দুর্বলতা গেম ইঞ্জিনে দূষিত কোড চালানোর জন্য পাওয়া যায়, ReVuln গবেষক বলেন।
স্বয়ংক্রিয় আপডেট এপিবি রিলোডড বা মাইক্রোভোল্টসের মত কিছু গেম পাওয়া যায় যা ডিস্কের আক্রমণকারী-নিয়ন্ত্রিত কনটেন্টের সাথে ফাইল তৈরি করতে বাষ্প: // URL গুলির মাধ্যমে অপ্রত্যাশিত হতে পারে।
নিজের ব্যবহারকারীদের রক্ষা করার জন্য ব্যবহারকারীরা বাষ্প নিষ্ক্রিয় করতে পারেন: // URL প্রোটোকল হ্যান্ডলার নিজে বা একটি বিশেষ অ্যাপ্লিকেশনের সাথে, বা ব্রাউজার ব্যবহার করে যা স্বয়ংক্রিয়ভাবে বাষ্প চালনা করে না: // URL গুলি, আরিমেমা বলেন। "নেতিবাচক দিক হল যে gamers যারা স্থানীয়ভাবে এই লিঙ্কগুলি ব্যবহার করে (শর্টকাট) বা অনলাইন (ওয়েব ব্রাউজার) সার্ভার যোগ বা এই প্রোটোকল অন্যান্য বৈশিষ্ট্য ব্যবহার করতে তাদের ব্যবহার করতে অক্ষম হবে।"
কারণ Safari ব্রাউজার এক যে স্বয়ংক্রিয়ভাবে বাষ্প চালানো: // URL গুলি, ম্যাক ওএস এক্স ব্যবহারকারীরা, যা ব্রাউজারের ব্যবহারকারীর ভিত্তি সংখ্যাগরিষ্ঠের প্রতিনিধিত্ব করে, এই ধরনের হামলার সাথে আরও বেশি পরিচিত হতে পারে। "ম্যাক ওএসটি স্টাম্পে ব্যবহৃত মাধ্যমিক প্ল্যাটফর্ম এবং এই প্ল্যাটফর্মের জন্য অনেক গেমস পাওয়া যায় তাই এটির একটি ব্যাপক ইউজার বেস রয়েছে" অরিমেমা বলেন।
"আমাদের মতে, কমরেড-ভলভকে গেমস-এর কমান্ড-লাইন পরামিতি পাস করতে হবে কারণ এটি খুব বিপজ্জনক এবং তারা এই তৃতীয় পক্ষের সফটওয়্যারগুলি কীভাবে ত্রুটিপূর্ণ প্যারামিটারগুলির সাথে কাজ করতে পারে তা নিয়ন্ত্রণ করতে পারে না। "
ভল্ভটি মন্তব্যের জন্য অবিলম্বে অনুরোধ না করে।
এর আগে এই মাসে কপাটিকা নির্বাচন অ বাষ্পের মাধ্যমে গেমিং সফটওয়্যার শিরোনাম যেমন অ্যাপ্লিকেশনের মধ্যে পাওয়া দুর্বলতাগুলিও বাষ্পের মাধ্যমে শোষণ করা হতে পারে: // ইউআরএলগুলি, অরিইমমা বলছে।
"সাম্প্রতিক মাসগুলোতে ভালভ প্ল্যাটফর্মটি লিনাক্সের জন্য বাষ্পের বিটা সংস্করণ চালু করেছে যা গ্রীনলাইট পরিষেবা যুক্ত করে যেখানে ব্যবহারকারীরা সফটওয়্যার বিভাগে আরও কিছু গেম এবং আরও কিছু হাইলাইট গেমস যোগ করা হয়েছে যা সীমিত সময়ের জন্য পূর্ণ, বিনামূল্যে টু-প্লে গেম এবং আরো অনেক কিছু যোগ করা হয়েছে। " "এখন থেকে এই সমস্যাগুলি লক্ষ্য করার জন্য কোন ভাল মুহূর্ত ছিল না।"
ফেইসবুকের ফোনের অনুসন্ধান মানুষের সংখ্যা খুঁজতে অপব্যবহার করা যেতে পারে, গবেষকরা বলছেন যে
আক্রমণকারীরা ফেসবুকের ফোনের অনুসন্ধান বৈশিষ্ট্যকে বৈধতা পেতে পারে নিরাপত্তা গবেষকদের মতে, ফোন নম্বর এবং তাদের মালিকদের নাম।
গবেষককে অপহরণ করতে শুরু করতে পারে: হ্যাকাররা গ্রিডের পঙ্গু করার জন্য ইলেকট্রিক কার চার্জারগুলি অপব্যবহার করতে পারে
হ্যাকাররা চার্জশিট আটকাতে দুর্বল চার্জিং স্টেশন ব্যবহার করতে পারে একটি নির্দিষ্ট এলাকায় বৈদ্যুতিক যানবাহন, অথবা সম্ভবত বিদ্যুৎ গ্রিডের অংশগুলি নষ্ট করার জন্য দুর্বলতাগুলিও ব্যবহার করে, একটি সুরক্ষা গবেষক বৃহস্পতিবার আমস্টারডামের বক্স কনফারেন্সে হ্যাকের সময় বলেন।
একটি বিনামূল্যের সফটওয়্যার যা আপনার বড় পিডিএফ ফাইলগুলিকে ইমেইল সংযুক্তযোগ্য ভাষায় রূপান্তর করতে সাহায্য করতে পারে। এটি তাদের রূপান্তর করতে পারে যাতে তারা কম রেজুলেশন সহ স্ক্রীনে সঠিকভাবে দেখা যায়। বিনামূল্যে পিডিএফ কম্প্রেসার একটি দুর্দান্ত ইউটিলিটি যা পিডিএফ ফাইলের সাইজ কমানো এবং ডিস্ক স্পেস, ব্যান্ডউইথ (ইন্টারনেটে তাদের ব্যবহার করার সময়) এবং অন্যান্য রিসোর্স সঞ্চয় করতে সাহায্য করতে পারে।
ফ্রি পিডিএফ কম্প্রেসার