গুগলের কয়েকদিন পরে, অ্যাপল ব্রাউজার ইঞ্জিনে শোষিত জিরো-ডে প্রকাশ করে

গুগলের কয়েকদিন পরে, অ্যাপল ব্রাউজার ইঞ্জিনে শোষিত জিরো-ডে প্রকাশ করে

সময় স্ট্যাম্প: 23 জানুয়ারী, 2024 6:30 অপরাহ্ন
উত্স নোড: 3081540

অ্যাপল সাফারির জন্য তার ওয়েবকিট ব্রাউজার ইঞ্জিনে একটি সক্রিয়ভাবে শোষিত শূন্য-দিনের বাগ প্যাচ করেছে।

বাগ, হিসাবে বরাদ্দ করা হয়েছে জন্য CVE-2024-23222, একটি থেকে কান্ড টাইপ বিভ্রান্তি ত্রুটি, যা মূলত তখনই ঘটে যখন একটি অ্যাপ্লিকেশন ভুলভাবে অনুমান করে যে এটি প্রাপ্ত ইনপুটটি প্রকৃতপক্ষে যাচাই না করেই একটি নির্দিষ্ট ধরণের - বা ভুলভাবে যাচাই করা - যেটি হবে।

সক্রিয়ভাবে শোষণিত

অ্যাপল গতকাল দুর্বলতাকে এমন কিছু হিসাবে বর্ণনা করেছে যা একজন আক্রমণকারী প্রভাবিত সিস্টেমে নির্বিচারে কোড চালানোর জন্য শোষণ করতে পারে। "অ্যাপল একটি প্রতিবেদন সম্পর্কে সচেতন যে এই সমস্যাটি কাজে লাগানো হতে পারে," কোম্পানির পরামর্শে উল্লেখ করা হয়েছে, আর কোনো বিবরণ না দিয়ে।

সংস্থাটি মুক্তি দিয়েছে আপডেট সংস্করণ iOS, iPadOS, macOS, iPadOS, এবং tvOS-এর দুর্বলতা মোকাবেলায় অতিরিক্ত যাচাইকরণ চেক।

CVE-2024-23222 হল প্রথম শূন্য-দিনের দুর্বলতা যা Apple 2024 সালে WebKit-এ প্রকাশ করেছে৷ গত বছর, কোম্পানিটি প্রযুক্তিতে মোট 11টি শূন্য-দিনের বাগ প্রকাশ করেছে - এটি একটি একক ক্যালেন্ডার বছরে সবচেয়ে বেশি৷ 2021 সাল থেকে, অ্যাপল মোট 22টি ওয়েবকিট জিরো-ডে বাগ প্রকাশ করেছে, যা গবেষক এবং আক্রমণকারী উভয়ের ব্রাউজারে ক্রমবর্ধমান আগ্রহকে তুলে ধরে।

সমান্তরালভাবে, অ্যাপলের নতুন ওয়েবকিট শূন্য-দিনের প্রকাশ গত সপ্তাহে গুগলের প্রকাশের অনুসরণ করে ক্রোমে শূন্য-দিন. সাম্প্রতিক মাসগুলিতে এটি অন্তত তৃতীয়বার চিহ্নিত যেখানে উভয় বিক্রেতা একে অপরের কাছাকাছি তাদের নিজ নিজ ব্রাউজারে শূন্য-দিন প্রকাশ করেছে। প্রবণতাটি পরামর্শ দেয় যে গবেষকরা এবং আক্রমণকারীরা উভয় প্রযুক্তির ত্রুটিগুলির জন্য প্রায় সমানভাবে অনুসন্ধান করছেন, সম্ভবত ক্রোম এবং সাফারিও সর্বাধিক ব্যবহৃত ব্রাউজার।

গুপ্তচরবৃত্তির হুমকি

অ্যাপল নতুন প্রকাশিত জিরো-ডে বাগ লক্ষ্য করে শোষণ কার্যকলাপের প্রকৃতি প্রকাশ করেনি। কিন্তু গবেষকরা রিপোর্ট করেছেন যে বাণিজ্যিক স্পাইওয়্যার বিক্রেতারা কোম্পানির সাম্প্রতিক কিছুর অপব্যবহার করছে, লক্ষ্য বিষয়ের আইফোনগুলিতে নজরদারি সফ্টওয়্যার বাদ দিতে।

2023 সালের সেপ্টেম্বরে, টরন্টো বিশ্ববিদ্যালয়ের সিটিজেন ল্যাব অ্যাপলকে সতর্ক করেছিল দুটি নো-ক্লিক শূন্য-দিনের দুর্বলতা আইওএস-এ যে নজরদারি সফ্টওয়্যারের একজন বিক্রেতা ওয়াশিংটন, ডিসি-ভিত্তিক সংস্থার একজন কর্মচারীর আইফোনে প্রিডেটর স্পাইওয়্যার টুল ফেলে দেওয়ার জন্য শোষণ করেছিল। একই মাসে, সিটিজেন ল্যাব গবেষকরা একটি পৃথক জিরো-ডে এক্সপ্লয়েট চেইনও রিপোর্ট করেছেন - যার মধ্যে একটি সাফারি বাগ রয়েছে - তারা আইওএস ডিভাইসগুলিকে লক্ষ্য করে আবিষ্কার করেছে।

গুগল সম্প্রতি কয়েকটি অনুষ্ঠানে প্রায় অ্যাপলের সাথে মিলে ক্রোমে অনুরূপ উদ্বেগ প্রকাশ করেছে। 2023 সালের সেপ্টেম্বরে, উদাহরণস্বরূপ, অ্যাপল তার জিরো-ডে বাগগুলি প্রকাশ করার কাছাকাছি সময়ে, গুগলের হুমকি বিশ্লেষণ গ্রুপের গবেষকরা ইন্টেলেক্সা নামক একটি বাণিজ্যিক সফ্টওয়্যার কোম্পানিকে একটি শোষণ শৃঙ্খল বিকাশকারী হিসাবে চিহ্নিত করেছেন - যার মধ্যে একটি ক্রোম জিরো-ডে অন্তর্ভুক্ত ছিল (জন্য CVE-2023-4762) — অ্যান্ড্রয়েড ডিভাইসে প্রিডেটর ইনস্টল করতে। মাত্র কয়েকদিন আগে, গুগল ক্রোমে আরেকটি শূন্য-দিন প্রকাশ করেছিল (জন্য CVE-2023-4863) একই ইমেজ প্রসেসিং লাইব্রেরিতে যেখানে অ্যাপল একটি শূন্য-দিন প্রকাশ করেছিল।

ব্রাউজার সিকিউরিটি ফার্ম মেনলো সিকিউরিটির প্রধান নিরাপত্তা স্থপতি লিওনেল লিটি বলেছেন, বর্তমানে উপলব্ধ সীমিত তথ্যের প্রেক্ষিতে 2024 সালের জন্য গুগল এবং অ্যাপলের প্রথম ব্রাউজার শূন্য-দিনের মধ্যে কোনো সংযোগ আছে কিনা তা বলা কঠিন। "Chrome CVE জাভাস্ক্রিপ্ট ইঞ্জিনে ছিল (v8) এবং Safari একটি ভিন্ন জাভাস্ক্রিপ্ট ইঞ্জিন ব্যবহার করে," লিটি বলেছেন৷ "তবে, বিভিন্ন বাস্তবায়নের ক্ষেত্রে একই রকম ত্রুটি থাকা অস্বাভাবিক নয়।"

একবার আক্রমণকারীরা একটি ব্রাউজারে একটি নরম স্পট খুঁজে পেলে, তারা একই এলাকায় অন্যান্য ব্রাউজারগুলি অনুসন্ধান করতেও পরিচিত, লিটি বলেছেন। "সুতরাং, যদিও এটি অসম্ভাব্য যে এটি ঠিক একই দুর্বলতা, তবে এটি খুব আশ্চর্যজনক হবে না যদি দুটি বন্য শোষণের মধ্যে কিছু ভাগ করা ডিএনএ থাকে।"

জিরো-আওয়ার ব্রাউজার-ভিত্তিক ফিশিং আক্রমণে বিস্ফোরণ

নজরদারি বিক্রেতারা, এখন পর্যন্ত, সাধারণভাবে ব্রাউজার দুর্বলতা এবং ব্রাউজারগুলিকে কাজে লাগানোর চেষ্টা করে না। মেনলো সিকিউরিটি থেকে শীঘ্রই প্রকাশিত একটি প্রতিবেদন অনুসারে, বছরের প্রথম ছয় মাসের তুলনায় 198 সালের দ্বিতীয়ার্ধে ব্রাউজার-ভিত্তিক ফিশিং আক্রমণে 2023% বৃদ্ধি পেয়েছে। ইভেসিভ অ্যাটাক - একটি বিভাগ যা মেনলো প্রথাগত নিরাপত্তা নিয়ন্ত্রণ এড়াতে কৌশল ব্যবহার করে বলে বর্ণনা করেছেন - 206% দ্বারা আরও বেশি বেড়েছে এবং 30 সালের দ্বিতীয়ার্ধে সমস্ত ব্রাউজার-ভিত্তিক আক্রমণের 2023% জন্য দায়ী।

30-দিনের সময়কালে, মেনলো বলেছেন যে এটি 11,000টিরও বেশি তথাকথিত "শূন্য-ঘন্টা" ব্রাউজার-ভিত্তিক ফিশিং আক্রমণগুলি সিকিউর ওয়েব গেটওয়ে এবং অন্যান্য এন্ডপয়েন্ট হুমকি সনাক্তকরণ সরঞ্জামগুলি এড়াতে পর্যবেক্ষণ করেছে৷

"ব্রাউজারটি হল ব্যবসায়িক অ্যাপ্লিকেশন এন্টারপ্রাইজগুলি ছাড়া বাঁচতে পারে না, তবে এটি নিরাপত্তা এবং ব্যবস্থাপনার দৃষ্টিকোণ থেকে পিছিয়ে গেছে," মেনলো আসন্ন প্রতিবেদনে বলেছেন।

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া

ডিজিটাল সার্বভৌমত্ব এবং সাইবার নিরাপত্তার উপর দৃষ্টি নিবদ্ধ 20-প্লাস সফ্টওয়্যার কোম্পানিগুলির সাথে Google ক্লাউড অগ্রিম অংশীদারিত্ব

উত্স ক্লাস্টার:
উত্স নোড: 1728086
সময় স্ট্যাম্প: অক্টোবর 13, 2022