2FA, হ্যাকিং এবং প্যাচিং
নিচে কোন অডিও প্লেয়ার? শুনুন সরাসরি সাউন্ডক্লাউডে।
ডগ আমথ এবং পল ডকলিনের সাথে। ইন্ট্রো এবং আউটরো সঙ্গীত দ্বারা এডিথ মুজ.
আপনি আমাদের শুনতে পারেন সাউন্ডক্লাউড, অ্যাপল পডকাস্ট, গুগল পডকাস্ট, Spotify এর, Stitcher এবং যে কোন জায়গায় ভাল পডকাস্ট পাওয়া যায়। অথবা শুধু ড্রপ আমাদের RSS ফিডের URL আপনার প্রিয় পডক্যাচারে।
ট্রান্সক্রিপ্ট পড়ুন
DOUG. ক্লাউডে রিমোট কোড এক্সিকিউশন, রিমোট কোড এক্সিকিউশন এবং 2FA কোড।
নেকেড সিকিউরিটি পডকাস্টে এই সমস্ত এবং আরও অনেক কিছু।
[মিউজিক্যাল মডেম]
পডকাস্টে স্বাগতম, সবাইকে।
আমি ডগ আমথ; তিনি পল ডাকলিন।
[বিদ্রূপাত্মক] পল, খুশি রিমোট কোড এক্সিকিউশন ডে তোমার কাছে, আমার বন্ধু।
হাঁস. দিন, সপ্তাহ, মাস, বছর, মনে হয়, ডগ।
যাইহোক, এই সপ্তাহে বেশ কয়েকটি RCE গল্পের ক্লাস্টার।
DOUG. অবশ্যই…
কিন্তু আমরা যে পেতে আগে, আমাদের আমাদের মধ্যে delve যাক প্রযুক্তির ইতিহাস সেগমেন্ট।
এই সপ্তাহে, 26 এপ্রিল 1998, কম্পিউটিং বিশ্বকে ধ্বংস করে দিয়েছিল সিআইএইচ ভাইরাস, স্পেসফিলার নামেও পরিচিত।
যে স্পেসফিলার নাম সম্ভবত সবচেয়ে উপযুক্ত।
একটি ফাইলের শেষে অতিরিক্ত কোড লেখার পরিবর্তে, যা ভাইরাসজনিত ক্রিয়াকলাপের একটি কথোপকথন স্বাক্ষর, এই ভাইরাসটি, যা প্রায় 1KB তে প্রবেশ করে, পরিবর্তে বিদ্যমান কোডের ফাঁকগুলি পূরণ করে।
ভাইরাসটি ছিল একটি উইন্ডোজ এক্সিকিউটেবল যা হার্ডডিস্কের প্রথম মেগাবাইট স্থানকে শূন্য দিয়ে পূরণ করবে, কার্যকরভাবে পার্টিশন টেবিলটি মুছে দেবে।
একটি দ্বিতীয় পেলোড তারপর এটি ধ্বংস করার জন্য BIOS এ লেখার চেষ্টা করবে।
দূষিত মনে হচ্ছে, পল!
হাঁস. এটা অবশ্যই করে।
এবং চিত্তাকর্ষক বিষয় হল যে 26 এপ্রিল এমন একটি দিন ছিল যখন এটি আসলে একটি ভাইরাস * ছিল না - বছরের বাকি সময় এটি ছড়িয়ে পড়ে।
এবং, প্রকৃতপক্ষে, শুধু নয়, যেমন আপনি বলেছেন, এটি আপনার হার্ড ডিস্কের প্রথম অংশটি মুছে ফেলার চেষ্টা করেছে...
…আপনি সম্ভবত বা সম্ভবত পুনরুদ্ধার করতে পারেন, কিন্তু এটি আপনার পার্টিশন টেবিল এবং সাধারণত আপনার ফাইল বরাদ্দ টেবিলের একটি বড় অংশ নিয়ে গেছে, তাই অবশ্যই গুরুতর সাহায্য ছাড়াই আপনার কম্পিউটারটি আনবুট করা যাবে না।
কিন্তু যদি এটি আপনার BIOS ওভাররাইট করতে সক্ষম হয়, তবে এটি ইচ্ছাকৃতভাবে ফার্মওয়্যারের শুরুর ঠিক কাছাকাছি আবর্জনা লিখেছে, যাতে আপনি যখন পরের বার আপনার কম্পিউটার চালু করেন, তখন দ্বিতীয় মেশিন কোড নির্দেশনা যা এটি পাওয়ার-আপে চালানোর চেষ্টা করেছিল তা এটির কারণ হতে পারে। স্তব্ধ
তাই আপনি ফার্মওয়্যারটি পুনরুদ্ধার করতে বা রিফ্ল্যাশ করতে আপনার কম্পিউটারটি মোটেও বুট করতে পারেননি।
এবং এটি সেই যুগের শুরুর দিকে ছিল যে BIOS চিপগুলি সকেটে থাকা বন্ধ করে দেয়, যেখানে আপনি যদি জানেন যে আপনি কী করছেন তবে সেগুলিকে রিফ্ল্যাশ করতে এবং সেগুলিকে ফিরিয়ে আনতে পারেন।
এগুলি মাদারবোর্ডে সোল্ডার করা হয়েছিল।
আপনি যদি চান, "ভিতরে কোনো ব্যবহারকারীর সেবাযোগ্য অংশ নেই।"
তাই বেশ কিছু দুর্ভাগ্যজনক আত্মা যারা আঘাত পেয়েছিলেন তাদের কেবলমাত্র তাদের ডেটা মুছে ফেলা হয়নি এবং তাদের কম্পিউটারকে শারীরিকভাবে আনবুট করা যায় নি, কিন্তু তারা এটি ঠিক করতে পারেনি এবং মূলত গিয়ে একটি নতুন মাদারবোর্ড কিনতে হয়েছিল, ডগ।
DOUG. এবং এই ধরনের ভাইরাস কতটা উন্নত ছিল?
এটি অনেকগুলি জিনিসের মতো মনে হচ্ছে যা হয়ত লোকেরা আগে দেখেনি, বা এটি সত্যিই চরম ছিল৷
হাঁস. স্থান পূরণের ধারণাটি নতুন ছিল না…
…কারণ মানুষ কিছু কী সিস্টেম ফাইলের আকার মুখস্ত করতে শিখেছে।
তাই আপনি মনে রাখতে পারেন, যদি আপনি একজন ডস ব্যবহারকারী ছিলেন, এর আকার COMMAND.COM
, শুধুমাত্র ক্ষেত্রে এটি বৃদ্ধি.
অথবা আপনি এর আকার মনে রাখতে পারেন, বলুন, NOTEPAD.EXE
, এবং তারপরে আপনি প্রতিবার এবং তারপরে এটির দিকে ফিরে তাকাতে পারেন এবং যেতে পারেন, “এটি পরিবর্তিত হয়নি; এটা ঠিক হতে হবে।"
কারণ, স্পষ্টতই, একজন মানব অ্যান্টি-ভাইরাস স্ক্যানার হিসাবে, আপনি ফাইলটিতে খনন করছিলেন না, আপনি কেবল এটির দিকে তাকিয়ে ছিলেন।
তাই এই কৌশলটি বেশ পরিচিত ছিল।
আমরা আগে যা দেখিনি তা হল এই ইচ্ছাকৃত, গণনাকৃত প্রচেষ্টাটি শুধুমাত্র আপনার হার্ড ডিস্কের বিষয়বস্তু মুছে ফেলার জন্য নয় (এটি আশ্চর্যজনকভাবে এবং দুঃখজনকভাবে, একটি পার্শ্ব প্রতিক্রিয়া হিসাবে সেই দিনগুলিতে খুব সাধারণ ছিল), কিন্তু আসলে আপনার পুরো কম্পিউটারকে জ্যাপ করার জন্য। , এবং কম্পিউটার নিজেই অব্যবহারযোগ্য করে তোলে।
পুনরুদ্ধারযোগ্য
এবং আপনাকে জোর করে হার্ডওয়্যারের দোকানে যেতে এবং একটি উপাদান প্রতিস্থাপন করতে।
DOUG. মজা না.
মোটেও মজা নেই!
সুতরাং, আসুন একটু সুখী কিছু সম্পর্কে কথা বলি।
আমি আমার Google প্রমাণীকরণকারীর ব্যাক আপ নিতে চাই৷ 2FA কোড সিকোয়েন্স গুগলের ক্লাউডে…
…এবং আমার উদ্বিগ্ন হওয়ার কিছু নেই কারণ এগুলো ট্রানজিটে এনক্রিপ্ট করা হয়েছে, তাই না, পল?
হাঁস. এটি একটি চিত্তাকর্ষক গল্প, কারণ Google প্রমাণীকরণকারী খুব ব্যাপকভাবে ব্যবহৃত হয়।
এটির একটি বৈশিষ্ট্য হল আপনার 2FA অ্যাকাউন্টগুলি এবং তাদের তথাকথিত স্টার্টিং বীজগুলি (যে জিনিসগুলি আপনাকে ছয়-সংখ্যার কোড তৈরি করতে সাহায্য করে) ক্লাউডে ব্যাকআপ করার ক্ষমতা যাতে আপনি যদি আপনার ফোন হারিয়ে ফেলেন বা আপনি একটি নতুন কিনুন ফোনে, আপনি সেগুলিকে নতুন ডিভাইসে সিঙ্ক করতে পারেন এবং সবকিছু আবার সেট আপ না করেই।
এবং গুগল সম্প্রতি ঘোষণা করেছে, "আমরা অবশেষে এই বৈশিষ্ট্যটি প্রদান করতে যাচ্ছি।"
আমি অনলাইনে একটি গল্প দেখেছি যেখানে শিরোনাম ছিল Google প্রমাণীকরণকারী 13 বছর পরে একটি জটিল, দীর্ঘ-প্রতীক্ষিত বৈশিষ্ট্য যুক্ত করেছে৷
তাই সবাই এই বিষয়ে ভয়ানক উত্তেজিত ছিল!
[হাসি]
এবং এটি বেশ সুবিধাজনক।
মানুষ যা করে তা হল…
…আপনি জানেন, যে QR কোডগুলি আসে যা আপনাকে একটি অ্যাকাউন্টের জন্য প্রথম স্থানে বীজ স্থাপন করতে দেয়?
DOUG. [হাসি] অবশ্যই, আমি সব সময় আমার ছবি তুলি।
হাঁস. হ্যাঁ, আপনি আপনার ক্যামেরাটি এটির দিকে নির্দেশ করেন, এটি এটিকে স্ক্যান করে, তারপর আপনি মনে করেন, "আমার আবার এটির প্রয়োজন হলে কী হবে? আমি সেই স্ক্রিনটি ছেড়ে যাওয়ার আগে, আমি এটির একটি ছবি তুলতে যাচ্ছি, তারপরে আমি একটি ব্যাকআপ পেয়েছি।"
আচ্ছা, এমন করো না!
কারণ এর মানে হল যে কোথাও আপনার ইমেলের মধ্যে, আপনার ফটোগুলির মধ্যে, আপনার ক্লাউড অ্যাকাউন্টের মধ্যে, মূলত সেই বীজের একটি এনক্রিপ্ট করা অনুলিপি।
এবং এটি আপনার অ্যাকাউন্টের পরম চাবিকাঠি।
সুতরাং এটি একটি কাগজের টুকরোতে আপনার পাসওয়ার্ড লেখার মতো এবং এটির একটি ফটো তোলার মতো হবে - সম্ভবত এটি একটি দুর্দান্ত ধারণা নয়।
তাই গুগলের জন্য তাদের প্রমাণীকরণকারী প্রোগ্রামে এই বৈশিষ্ট্যটি তৈরি করা (আপনি নিরাপদে আশা করবেন) শেষ পর্যন্ত অনেকের কাছে একটি বিজয় হিসাবে দেখা হয়েছিল।
[ড্রামাটিক পজ]
@mysk_co লিখুন (আমাদের ভাল বন্ধু টমি মাইস্ক, যার সম্পর্কে আমরা পডকাস্টে আগে বেশ কয়েকবার কথা বলেছি)।
তারা ভেবেছিল, “নিশ্চয়ই এমন কিছু এনক্রিপশন আছে যা আপনার কাছে অনন্য, যেমন একটি পাসফ্রেজ… তবুও যখন আমি সিঙ্ক করেছি, অ্যাপটি আমাকে পাসকোডের জন্য জিজ্ঞাসা করেনি; আপনি পাসওয়ার্ড এবং অ্যাকাউন্টের বিশদ বিবরণের মতো জিনিসগুলি সিঙ্ক করার সময় Chrome ব্রাউজারের মতো এটি আমাকে পছন্দ করার প্রস্তাব দেয়নি।"
এবং, দেখুন এবং দেখুন, @mysk_co দেখেছে যে যখন তারা অ্যাপটির TLS ট্র্যাফিক নিয়েছিল এবং এটিকে ডিক্রিপ্ট করেছে, যেমনটি Google-এ পৌঁছানোর সময় ঘটবে…
…ভিতরে বীজ ছিল!
এটা আমার কাছে আশ্চর্যজনক যে Google এই বৈশিষ্ট্যটি তৈরি করেনি, "আপনি কি আপনার পছন্দের পাসওয়ার্ড দিয়ে এটিকে এনক্রিপ্ট করতে চান যাতে আমরা আপনার বীজ পেতে পারি না?"
কারণ, অন্যথায়, যদি সেই বীজগুলি ফাঁস হয়ে যায় বা চুরি হয়ে যায়, বা যদি সেগুলি আইনানুগ অনুসন্ধান ওয়ারেন্টের অধীনে জব্দ করা হয়, যে কেউ আপনার ক্লাউড থেকে ডেটা পাবে সে আপনার সমস্ত অ্যাকাউন্টের জন্য শুরুর বীজ পেতে সক্ষম হবে৷
এবং সাধারণত যে উপায় জিনিস কাজ না.
আপনার পাসওয়ার্ড এবং আপনার 2FA বীজের মতো জিনিসগুলিকে সকলের এবং কারো কাছ থেকে গোপন রাখতে চাইলে আপনাকে একটি আইনহীন বখাটে হতে হবে না।
তাই তাদের পরামর্শ, @mysk_co-এর পরামর্শ (এবং আমি এটিকে দ্বিতীয় করব) হল, "যতক্ষণ না Google একটি পাসফ্রেজ সহ পার্টিতে না আসে, আপনি যদি চান তাহলে যোগ করতে পারেন সেই বৈশিষ্ট্যটি ব্যবহার করবেন না।"
এর মানে হল যে স্টাফগুলি আপনার দ্বারা এনক্রিপ্ট করা হয় *আগে* এটি এনক্রিপ্ট করা হয় যাতে এটি এইচটিটিপিএস সংযোগে Google-এ পাঠানো হয়।
এবং এর মানে হল যে Google আপনার শুরুর বীজ পড়তে পারে না, এমনকি তারা চাইলেও।
DOUG. ঠিক আছে, এই পডকাস্টে বলতে আমার বিশ্বের সবচেয়ে প্রিয় জিনিস: আমরা সেদিকে নজর রাখব।
আমাদের পরবর্তী গল্প PaperCut নামক একটি কোম্পানি সম্পর্কে.
এটি একটি সম্পর্কেও দূরবর্তী কোড নির্বাহ.
কিন্তু এত স্বচ্ছ হওয়ার জন্য এই কোম্পানির কাছে এটি সত্যিই একটি টিপ-অফ-দ্য-ক্যাপ।
এই গল্পে অনেক কিছু চলছে। পল… এর খনন করা যাক, এবং আমরা কি খুঁজে পেতে পারি.
সক্রিয় আক্রমণের অধীনে PaperCut নিরাপত্তা দুর্বলতা - বিক্রেতা গ্রাহকদের প্যাচ করার জন্য অনুরোধ করে
হাঁস. আমাকে একটি করতে দিন খনি ফল্ট পেপারকাট-দ্য-কোম্পানীর কাছে।
যখন আমি পেপারকাট শব্দগুলো দেখেছিলাম, এবং তখন আমি লোকেদের কথা বলতে দেখেছি, “ওহ, দুর্বলতা; দূরবর্তী কোড নির্বাহ; আক্রমণ সাইবারড্রামা"…
DOUG. [হাসি] আমি জানি এটা কোথায় যাচ্ছে!
হাঁস. … আমি ভেবেছিলাম পেপারকাট একটি বিডব্লিউএআইএন, একটি চিত্তাকর্ষক নামের একটি বাগ৷
আমি ভাবলাম, “এটা একটা ভালো নাম; আমি আপনাকে বাজি ধরে বলতে পারি এটি প্রিন্টারের সাথে করতে হবে, এবং এটি একটি হার্টব্লিড, বা একটি লগজ্যাম, বা একটি শেলশক, বা একটি প্রিন্ট নাইটমেয়ারের মতো হতে চলেছে - এটি একটি পেপারকাট!
আসলে, এটি কোম্পানির নাম মাত্র।
আমি মনে করি ধারণাটি হল যে এটি আপনাকে আপনার নেটওয়ার্কে প্রিন্টার প্রশাসন প্রদান করে বর্জ্য, এবং অপ্রয়োজনীয় ব্যয় এবং আপনার কাগজের ব্যবহারে অস্বস্তিকরতা কমাতে সাহায্য করার জন্য বোঝানো হয়েছে।
"কাট" বলতে বোঝানো হয়েছে যে আপনি আপনার খরচ কাটছেন।
দুর্ভাগ্যবশত, এই ক্ষেত্রে, এর মানে হল যে আক্রমণকারীরা নেটওয়ার্কে তাদের পথ কেটে দিতে পারে, কারণ সম্প্রতি তাদের সার্ভারে অ্যাডমিন টুলে এক জোড়া দুর্বলতা আবিষ্কৃত হয়েছে।
এবং সেই বাগগুলির মধ্যে একটি (যদি আপনি এটি ট্র্যাক করতে চান তবে এটি হল CVE-2023-27350) দূরবর্তী কোড কার্যকর করার অনুমতি দেয়:
এই দুর্বলতা সম্ভাব্যভাবে একটি অননুমোদিত আক্রমণকারীকে একটি পেপারকাট অ্যাপ্লিকেশন সার্ভারে দূরবর্তী কোড এক্সিকিউশন পেতে অনুমতি দেয়। এটি দূরবর্তীভাবে এবং লগ ইন করার প্রয়োজন ছাড়াই করা যেতে পারে।
মূলত, আপনি যে কমান্ডটি চালাতে চান সেটিকে বলুন এবং এটি আপনার জন্য এটি চালাবে।
সুসংবাদ: তারা এই সুপার-বিপজ্জনক একটি সহ এই দুটি বাগ প্যাচ করেছে।
রিমোট কোড এক্সিকিউশন বাগ… তারা 2023 সালের মার্চের শেষে প্যাচ করেছে।
অবশ্যই, সবাই প্যাচ প্রয়োগ করেনি।
এবং, দেখুন এবং দেখুন, প্রায় 2023 সালের এপ্রিলের মাঝামাঝি, তারা রিপোর্ট পেয়েছিল যে কেউ এটির সাথে জড়িত।
আমি অনুমান করছি যে বদমাশরা প্যাচগুলি দেখেছে, কী পরিবর্তিত হয়েছে তা বের করেছে এবং ভেবেছে, "ওহ, আমরা যা ভেবেছিলাম তার চেয়ে শোষণ করা সহজ, আসুন এটি ব্যবহার করি! কি একটি সুবিধাজনক উপায়!"
আর শুরু হয় হামলা।
আমি বিশ্বাস করি যে তারা এখন পর্যন্ত সবচেয়ে প্রথমটি খুঁজে পেয়েছে তা ছিল 14 এপ্রিল 2023।
এবং তাই কোম্পানিটি তার পথের বাইরে চলে গেছে, এবং এমনকি তার ওয়েবসাইটের শীর্ষে একটি ব্যানার লাগিয়েছে যে, "আমাদের গ্রাহকদের জন্য জরুরী বার্তা: প্যাচ প্রয়োগ করুন।"
বদমাশরা ইতিমধ্যেই এর উপর নেমে এসেছে, এবং এটি ভাল যাচ্ছে না।
এবং সোফোস এক্স-অপস টিমের হুমকি গবেষকদের মতে, আমাদের কাছে ইতিমধ্যেই বিভিন্ন অপরাধীর দল এটি ব্যবহার করার প্রমাণ রয়েছে।
তাই আমি বিশ্বাস করি যে আমরা একটি আক্রমণ সম্পর্কে সচেতন যেটি দেখে মনে হচ্ছে এটি ক্লপ র্যানসমওয়্যার ক্রু ছিল; আমি বিশ্বাস করি যে আরেকটি লকবিট র্যানসমওয়্যার গ্যাংয়ের কাছে ছিল; এবং তৃতীয় আক্রমণ যেখানে ক্রিপ্টোজ্যাকিংয়ের জন্য দুর্বৃত্তদের দ্বারা শোষণের অপব্যবহার করা হচ্ছে – যেখানে তারা আপনার বিদ্যুৎ পোড়ায় কিন্তু তারা ক্রিপ্টোকয়েন নেয়।
এবং আরও খারাপ, আমি আজ সকালে আমাদের হুমকি গবেষকদের একজনের কাছ থেকে বিজ্ঞপ্তি পেয়েছি যে কেউ, তাদের হৃদয়কে আশীর্বাদ করুন, সিদ্ধান্ত নিয়েছে যে "প্রতিরক্ষামূলক উদ্দেশ্যে এবং একাডেমিক গবেষণার জন্য", এটা সত্যিই গুরুত্বপূর্ণ যে আমাদের সকলের একটি 2023-লাইন পাইথন স্ক্রিপ্টে অ্যাক্সেস...
…যা আপনাকে ইচ্ছামত এটিকে কাজে লাগাতে দেয়, [বিদ্রূপাত্মক] আপনি বুঝতে পারেন কিভাবে এটি কাজ করে।
DOUG. আআআআআআআআরঘ.
হাঁস. তাই যদি আপনি প্যাচ না করে থাকেন...
DOUG. দয়া করে তাড়াতাড়ি করুন!
যে খারাপ শোনাচ্ছে!
হাঁস. "তাড়াতাড়ি দয়া করে"... আমি মনে করি এটি করার সবচেয়ে শান্ত উপায়, ডগ।
DOUG. আমরা রিমোট কোড এক্সিকিউশন ট্রেনে থাকব, এবং পরবর্তী স্টপ হল Chromium জংশন।
A দ্বিগুণ শূন্য-দিন, একটি ছবি জড়িত, এবং একটি জাভাস্ক্রিপ্ট জড়িত, পল.
ক্রোম এবং এজ-এ ডাবল জিরো-ডে - এখন আপনার সংস্করণগুলি পরীক্ষা করুন!
হাঁস. প্রকৃতপক্ষে, ডগ.
আপনি যদি সেগুলি ট্র্যাক করতে চান তবে আমি এইগুলি পড়ব৷
আমরা পেয়েছি জন্য CVE-2023-2033, এবং তা হল, পরিভাষায়, Google Chrome-এ V8-এ বিভ্রান্তি টাইপ করুন।
এবং আমাদের আছে জন্য CVE-2023-2136, Google Chrome-এ Skia-এ পূর্ণসংখ্যা ওভারফ্লো।
ব্যাখ্যা করার জন্য, V8 হল ওপেন-সোর্স জাভাস্ক্রিপ্ট "ইঞ্জিন" এর নাম, যদি আপনি চান, Chromium ব্রাউজারের মূলে, এবং Skia হল একটি গ্রাফিক্স হ্যান্ডলিং লাইব্রেরি যা এইচটিএমএল এবং গ্রাফিক্স সামগ্রী রেন্ডার করার জন্য Chromium প্রকল্প দ্বারা ব্যবহৃত হয়।
আপনি কল্পনা করতে পারেন যে আপনার ব্রাউজারের গ্রাফিক্স রেন্ডারিং অংশ বা জাভাস্ক্রিপ্ট প্রসেসিং অংশে ট্রিগারযোগ্য বাগগুলির সমস্যা…
…এটি হল সেই অংশগুলি যা ব্যবহার, প্রক্রিয়াকরণ এবং উপস্থাপন করার জন্য ডিজাইন করা হয়েছে যা *অবিশ্বস্ত ওয়েবসাইটগুলি থেকে দূর থেকে আসে*, এমনকি আপনি যখন সেগুলি দেখেন।
এবং তাই, ব্রাউজারটি আপনার দেখার জন্য এটি প্রস্তুত করে, আপনি একটি নয়, এই দুটি বাগকেই সুড়সুড়ি দিতে পারেন।
আমার বোধগম্য হল যে তাদের মধ্যে একটি, জাভাস্ক্রিপ্ট একটি, মূলত রিমোট কোড এক্সিকিউশন দেয়, যেখানে আপনি ব্রাউজারটিকে কোড চালানোর জন্য পেতে পারেন যা এটি অনুমিত নয়।
এবং অন্যটি অনুমতি দেয় যা সাধারণত স্যান্ডবক্স এস্কেপ হিসাবে পরিচিত।
সুতরাং, আপনি আপনার কোডটি চালানোর জন্য পান, এবং তারপরে আপনি ব্রাউজারের ভিতরে চলমান কোডগুলিকে সীমাবদ্ধ করার জন্য অনুমিত কঠোরতার বাইরে ঝাঁপিয়ে পড়বেন।
যদিও এই বাগগুলি আলাদাভাবে আবিষ্কৃত হয়েছিল, এবং সেগুলি যথাক্রমে 14 এপ্রিল 2023 এবং 18 এপ্রিল 2023-এ আলাদাভাবে প্যাচ করা হয়েছিল, আপনি সাহায্য করতে পারবেন না কিন্তু আশ্চর্য হতে পারবেন না (কারণ এগুলি শূন্য-দিনের) যদি সেগুলি আসলে কারো দ্বারা সংমিশ্রণে ব্যবহার করা হয়।
কারণ আপনি কল্পনা করতে পারেন: একটি আপনাকে ব্রাউজার থেকে *এ* ভেঙ্গে যেতে দেয় এবং অন্যটি আপনাকে ব্রাউজার থেকে *আউট* করতে দেয়।
সুতরাং আপনি একই ধরণের পরিস্থিতির মধ্যে আছেন যখন আমরা সম্প্রতি সেগুলি সম্পর্কে কথা বলছিলাম আপেল শূন্য-দিন, যেখানে একটি ওয়েবকিটে ছিল, ব্রাউজার রেন্ডারার, যাতে এর মানে হল যে আপনি যখন একটি পৃষ্ঠা দেখছেন তখন আপনার ব্রাউজারটি বিদ্ধ হতে পারে...
…এবং অন্যটি কার্নেলে ছিল, যেখানে ব্রাউজারে থাকা কোডটি হঠাৎ করে ব্রাউজার থেকে বেরিয়ে আসতে পারে এবং সিস্টেমের প্রধান নিয়ন্ত্রণ অংশে নিজেকে কবর দিতে পারে।
অ্যাপল জিরো-ডে স্পাইওয়্যার প্যাচগুলি পুরানো ম্যাক, আইফোন এবং আইপ্যাডগুলি কভার করার জন্য প্রসারিত৷
এখন, আমরা জানি না, ক্রোম এবং এজ বাগ ক্ষেত্রে, এগুলি একসাথে ব্যবহার করা হয়েছিল কিনা, তবে এর অবশ্যই অর্থ হল যে আপনার স্বয়ংক্রিয় আপডেটগুলি সত্যিই এর মধ্য দিয়ে গেছে তা পরীক্ষা করা খুব, খুব ভাল!
DOUG. হ্যাঁ, আমি লক্ষ্য করব যে আমি আমার মাইক্রোসফ্ট এজ চেক করেছি এবং এটি স্বয়ংক্রিয়ভাবে আপডেট হয়েছে।
কিন্তু এটি হতে পারে যে একটি আপডেট টগল আছে যা ডিফল্টরূপে বন্ধ থাকে - যদি আপনার মিটারযুক্ত সংযোগ থাকে, যা যদি আপনার ISP-এর একটি ক্যাপ থাকে, বা আপনি যদি একটি মোবাইল নেটওয়ার্ক ব্যবহার করেন - যেমন আপনি স্বয়ংক্রিয়ভাবে আপডেটগুলি পাবেন না যদি না আপনি সক্রিয়ভাবে যে টগল.
এবং আপনি আপনার ব্রাউজার রিস্টার্ট না করা পর্যন্ত টগল কার্যকর হবে না।
সুতরাং আপনি যদি সেই ব্যক্তিদের মধ্যে একজন হন যারা আপনার ব্রাউজারটি ক্রমাগত খোলা রাখে এবং কখনও এটি বন্ধ বা পুনরায় চালু করে না, তাহলে…
…হ্যাঁ, এটা চেক করা মূল্যবান!
এই ব্রাউজারগুলি স্বয়ংক্রিয় আপডেটের সাথে একটি ভাল কাজ করে, তবে এটি দেওয়া হয় না।
হাঁস. যে একটি খুব ভাল পয়েন্ট, ডগ.
আমি এটা নিয়ে ভাবিনি।
আপনি যদি সেই মিটারযুক্ত সংযোগগুলি সেটিং বন্ধ করে থাকেন তবে আপনি হয়ত আপডেটগুলি পাবেন না৷
DOUG. ঠিক আছে, তাই Google থেকে CVE গুলি একটু অস্পষ্ট, কারণ সেগুলি প্রায়শই যে কোনও কোম্পানির হয়৷
সুতরাং, ফিল (আমাদের একজন পাঠক) জিজ্ঞাসা করলেন… তিনি বলেছেন যে সিভিই-র অংশটি বলে যে কিছু আসতে পারে "একটি তৈরি করা HTML পৃষ্ঠার মাধ্যমে।"
তিনি বলছেন যে এটি এখনও খুব অস্পষ্ট।
সুতরাং, অংশে, তিনি বলেছেন:
আমি অনুমান করি আমার অনুমান করা উচিত, যেহেতু V8 যেখানে দুর্বলতা রয়েছে, জাভাস্ক্রিপ্ট-প্লাস-এইচটিএমএল, এবং কেবল নিজের দ্বারা কিছু দূষিত এইচটিএমএল নয়, সিপিইউ নির্দেশনা পয়েন্টার ধরে রাখতে পারে? ভুল বা ঠিক?
এবং তারপর তিনি বলতে যান CVE হয় "এখন পর্যন্ত, এই বিষয়ে একটি সূত্র পেতে আমার কাছে অকেজো।"
তাই ফিল একটু বিভ্রান্ত, যেমন সম্ভবত আমাদের বাকি অনেকেই এখানে আছেন।
পল?
হাঁস. হ্যাঁ, আমি মনে করি এটি একটি দুর্দান্ত প্রশ্ন।
আমি এই ক্ষেত্রে বুঝতে পারি কেন গুগল বাগ সম্পর্কে খুব বেশি কিছু বলতে চায় না।
তারা বনে আছে; তারা শূন্য দিন; দুর্বৃত্তরা ইতিমধ্যে তাদের সম্পর্কে জানে; এর চেষ্টা করা যাক এবং কিছু সময়ের জন্য আমাদের টুপি অধীনে রাখা.
এখন, আমি অনুমান করি যে তারা শুধু একটি "কারুকৃত এইচটিএমএল পৃষ্ঠা" বলেছে তা কেবল এইচটিএমএল (বিশুদ্ধ খেলা "কোণ বন্ধনী/ট্যাগ/কোণ বন্ধনী" এইচটিএমএল কোড, যদি আপনি চান) বাগটি ট্রিগার করতে পারে এমন পরামর্শ দেওয়া হয়নি।
আমি মনে করি যে Google আপনাকে সতর্ক করার চেষ্টা করছে তা হল কেবলমাত্র তাকানো - "শুধুমাত্র পাঠযোগ্য" ব্রাউজিং - তবুও আপনাকে সমস্যায় ফেলতে পারে৷
এই ধরনের একটি বাগ ধারণা, কারণ এটি দূরবর্তী কোড নির্বাহ, হল: আপনি তাকান; ব্রাউজার তার নিয়ন্ত্রিত উপায়ে কিছু উপস্থাপন করার চেষ্টা করে; এটি 100% নিরাপদ হওয়া উচিত।
কিন্তু এই ক্ষেত্রে, এটি 100% *বিপজ্জনক* হতে পারে।
এবং আমি মনে করি যে তারা কি বলতে চাইছেন.
এবং দুর্ভাগ্যবশত, "সিভিইগুলি আমার কাছে অকেজো" হওয়ার ধারণাটি, দুঃখের বিষয়, আমি প্রায়শই এমনটি দেখতে পাই।
DOUG. আপনি একা নন, ফিল!
হাঁস. এগুলি সাইবারসিকিউরিটি বকবক এবং জার্গনের কয়েকটি বাক্য মাত্র।
আমি বলতে চাচ্ছি, কখনও কখনও, CVEগুলির সাথে, আপনি পৃষ্ঠায় যান এবং এটি কেবল বলে, "এই বাগ শনাক্তকারীটি সংরক্ষিত করা হয়েছে এবং বিশদটি পরে অনুসরণ করা হবে," যা প্রায় অকেজোর চেয়েও খারাপ। [হাসি]
সুতরাং এটি আসলেই আপনাকে যা বলার চেষ্টা করছে, একটি জারগনিস্টিক উপায়ে, তা হল *সাধারণভাবে দেখা*, কেবল একটি ওয়েব পৃষ্ঠা দেখা, যা নিরাপদ বলে মনে করা হয় (আপনি কিছুই ডাউনলোড করতে চাননি; আপনি বেছে নেননি যেকোন কিছু চালান; আপনি একটি ফাইল সংরক্ষণ করার জন্য ব্রাউজারকে অনুমোদন দেননি)… শুধু পৃষ্ঠাটি প্রস্তুত করার প্রক্রিয়াটি দেখার আগে এটি আপনাকে ক্ষতির পথে ফেলতে যথেষ্ট হতে পারে।
আমি মনে করি, "কারুকৃত HTML বিষয়বস্তু" দ্বারা তারা কী বোঝায়।
DOUG. ঠিক আছে, আপনাকে অনেক ধন্যবাদ, পল, এটা পরিষ্কার করার জন্য।
এবং আপনাকে অনেক ধন্যবাদ, ফিল, এটি পাঠানোর জন্য।
যদি আপনার কাছে একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে এটি পড়তে চাই।
আপনি tips@sophos.com-এ ইমেল করতে পারেন, আপনি আমাদের যেকোনো একটি নিবন্ধে মন্তব্য করতে পারেন, অথবা আপনি আমাদের সামাজিক যোগাযোগ করতে পারেন: @nakedsecurity.
এটাই আমাদের আজকের অনুষ্ঠান; শোনার জন্য অনেক ধন্যবাদ
পল ডকলিনের জন্য, আমি ডগ আমথ, পরের বার পর্যন্ত আপনাকে মনে করিয়ে দিচ্ছি...
উভয়। নিরাপদ থাকুন!
[মিউজিক্যাল মডেম]
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- প্লেটোএআইস্ট্রিম। Web3 ডেটা ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- অ্যাড্রিয়েন অ্যাশলির সাথে ভবিষ্যত মিন্টিং। এখানে প্রবেশ করুন.
- উত্স: https://nakedsecurity.sophos.com/2023/04/27/s3-ep132-proof-of-concept-lets-anyone-hack-at-will/
- : আছে
- : হয়
- :না
- :কোথায়
- $ ইউপি
- 100% নিরাপদ
- 13
- 14
- 1998
- 2023
- 26
- 2FA
- a
- ক্ষমতা
- সক্ষম
- সম্পর্কে
- পরম
- একাডেমিক
- প্রবেশ
- অনুযায়ী
- হিসাব
- অ্যাকাউন্টস
- সক্রিয়
- কার্যকলাপ
- প্রকৃতপক্ষে
- যোগ
- যোগ করে
- অ্যাডমিন
- প্রশাসন
- অগ্রসর
- পরামর্শ
- পর
- বিরুদ্ধে
- পূর্বে
- সব
- বণ্টন
- অনুমতি
- একা
- ইতিমধ্যে
- ঠিক হ্যায়
- এছাড়াও
- am
- মধ্যে
- an
- এবং
- ঘোষিত
- অন্য
- কোন
- যে কেউ
- কোথাও
- অ্যাপ্লিকেশন
- আপেল
- আবেদন
- ফলিত
- প্রয়োগ করা
- এপ্রিল
- APT
- রয়েছি
- প্রবন্ধ
- AS
- At
- আক্রমণ
- আক্রমন
- প্রচেষ্টা
- অডিও
- লেখক
- স্বয়ংক্রিয়
- স্বয়ংক্রিয়ভাবে
- পিছনে
- ব্যাকআপ
- পতাকা
- মূলত
- BE
- কারণ
- হয়েছে
- আগে
- শুরু
- হচ্ছে
- বিশ্বাস করা
- নিচে
- বাজি
- বিশাল
- বিট
- উভয়
- বিরতি
- ব্রাউজার
- ব্রাউজার
- ব্রাউজিং
- নম
- বাগ
- নির্মাণ করা
- পোড়া
- কিন্তু
- কেনা
- by
- গণিত
- নামক
- ক্যামেরা
- CAN
- পেতে পারি
- টুপি
- কেস
- মামলা
- কারণ
- কিছু
- অবশ্যই
- চেক
- চেক করা হয়েছে
- পরীক্ষণ
- চিপস
- পছন্দ
- মনোনীত
- ক্রৌমিয়াম
- ক্রোম ব্রাউজার
- ক্রৌমিয়াম
- সাফতা
- মেঘ
- গুচ্ছ
- কোড
- এর COM
- সমাহার
- আসা
- আসে
- মন্তব্য
- সাধারণ
- কোম্পানি
- উপাদান
- কম্পিউটার
- কম্পিউটিং
- বিভ্রান্ত
- বিশৃঙ্খলা
- সংযোগ
- সংযোগ
- প্রতিনিয়ত
- গ্রাস করা
- বিষয়বস্তু
- সুখী
- নিয়ন্ত্রণ
- নিয়ন্ত্রিত
- সুবিধাজনক
- শীতল
- মূল
- দূষিত
- পারা
- দম্পতি
- পথ
- আবরণ
- সিপিইউ
- সংকটপূর্ণ
- কথা বলবেন সে ধোঁকাবাজ
- Cryptojacking
- গ্রাহকদের
- কাটা
- কাটা
- cve
- সাইবার নিরাপত্তা
- উপাত্ত
- দিন
- দিন
- সিদ্ধান্ত নিয়েছে
- ডিফল্ট
- আত্মরক্ষামূলক
- পরিকল্পিত
- ধ্বংস
- বিস্তারিত
- যন্ত্র
- DID
- বিভিন্ন
- খনন করা
- আবিষ্কৃত
- do
- না
- না
- করছেন
- সম্পন্ন
- Dont
- ডস
- নিচে
- ডাউনলোড
- নাটকীয়
- ড্রপ
- সহজ
- প্রান্ত
- প্রভাব
- কার্যকরীভাবে
- পারেন
- বিদ্যুৎ
- ইমেইল
- ইমেল
- এনক্রিপ্ট করা
- এনক্রিপশন
- শেষ
- যথেষ্ট
- যুগ
- অব্যাহতি
- মূলত
- স্থাপন করা
- এমন কি
- প্রতি
- সবাই
- সব
- প্রমান
- উত্তেজিত
- এক্সিকিউট
- ফাঁসি
- বিদ্যমান
- খরচ
- ব্যাখ্যা করা
- কাজে লাগান
- অতিরিক্ত
- চরম
- চোখ
- চটুল
- বৈশিষ্ট্য
- কয়েক
- মূর্ত
- ফাইল
- নথি পত্র
- পূরণ করা
- ভরা
- পরিশেষে
- আবিষ্কার
- প্রথম
- ঠিক করা
- অনুসরণ করা
- জন্য
- বল
- পাওয়া
- বন্ধু
- থেকে
- মজা
- দল
- সাধারণত
- উত্পাদন করা
- পাওয়া
- পেয়ে
- প্রদত্ত
- দেয়
- Go
- Goes
- চালু
- ভাল
- ভাল করেছ
- গুগল
- Google Chrome
- Google এর
- গ্রাফিক্স
- মহান
- টাট্টু ঘোড়া
- হ্যাকিং
- ছিল
- হ্যান্ডলিং
- কুশলী
- খাটান
- ঘটা
- খুশি
- কঠিন
- হার্ডওয়্যারের
- হয়েছে
- আছে
- জমিদারি
- he
- শিরোনাম
- হৃদয়গ্রাহী
- সাহায্য
- এখানে
- আঘাত
- রাখা
- আশা
- কিভাবে
- এইচটিএমএল
- HTTPS দ্বারা
- মানবীয়
- i
- ধারণা
- আইডেন্টিফায়ার
- if
- চিত্র
- কল্পনা করা
- গুরুত্বপূর্ণ
- চিত্তাকর্ষক
- in
- সুদ্ধ
- বর্ধিত
- পরিবর্তে
- মজাদার
- মধ্যে
- আইএসপি
- IT
- এর
- নিজেই
- অপভাষা
- জাভাস্ক্রিপ্ট
- কাজ
- ঝাঁপ
- মাত্র
- রাখা
- চাবি
- রকম
- জানা
- পরিচিত
- গত
- পরে
- লাফ
- শিখতে
- জ্ঞানী
- ত্যাগ
- যাক
- লাইব্রেরি
- মিথ্যা
- মত
- শ্রবণ
- সামান্য
- লগ ইন করুন
- দীর্ঘ প্রতীক্ষিত
- দেখুন
- তাকিয়ে
- খুঁজছি
- সৌন্দর্য
- হারান
- অনেক
- ভালবাসা
- মেশিন
- প্রণীত
- প্রধান
- করা
- পরিচালিত
- অনেক
- মার্চ
- গড়
- মানে
- বার্তা
- মাইক্রোসফট
- Microsoft Edge
- মধ্যম
- হতে পারে
- মোবাইল
- মাস
- অধিক
- সকাল
- সেতু
- অনেক
- সঙ্গীত
- সুরেলা
- নগ্ন সুরক্ষা
- নগ্ন নিরাপত্তা পডকাস্ট
- নাম
- কাছাকাছি
- প্রয়োজন
- নেটওয়ার্ক
- তবু
- নতুন
- সংবাদ
- পরবর্তী
- স্বাভাবিকভাবে
- কিছু না
- প্রজ্ঞাপন
- এখন
- of
- বন্ধ
- অর্পণ
- প্রায়ই
- on
- ONE
- অনলাইন
- কেবল
- খোলা
- ওপেন সোর্স
- or
- ক্রম
- অন্যান্য
- অন্যভাবে
- আমাদের
- বাইরে
- বাহিরে
- শেষ
- পৃষ্ঠা
- কাগজ
- অংশ
- যন্ত্রাংশ
- পার্টি
- পাসওয়ার্ড
- পাসওয়ার্ড
- তালি
- প্যাচ
- পল
- সম্প্রদায়
- PHIL
- ফোন
- দা
- শারীরিক
- ছবি
- টুকরা
- জায়গা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- খেলা
- খেলোয়াড়
- দয়া করে
- পডকাস্ট
- পডকাস্ট
- বিন্দু
- সম্ভবত
- পোস্ট
- সম্ভাব্য
- প্রস্তুতি
- বর্তমান
- সম্ভবত
- সমস্যা
- প্রক্রিয়া
- প্রক্রিয়াজাতকরণ
- কার্যক্রম
- প্রকল্প
- প্রদান
- প্রদানের
- উদ্দেশ্য
- করা
- স্থাপন
- পাইথন
- qr-কোড
- প্রশ্ন
- ransomware
- পড়া
- পাঠকদের
- সত্যিই
- কারণ
- সম্প্রতি
- উদ্ধার করুন
- দূরবর্তী
- অনুবাদ
- প্রতিস্থাপন করা
- প্রতিবেদন
- গবেষকরা
- সংরক্ষিত
- যথাক্রমে
- বিশ্রাম
- আরএসএস
- চালান
- দৌড়
- নিরাপদ
- বলেছেন
- একই
- স্যান্ডবক্স
- সংরক্ষণ করুন
- উক্তি
- বলেছেন
- স্ক্রিন
- সার্চ
- দ্বিতীয়
- গোপন
- নিরাপদে
- নিরাপত্তা
- দেখ
- বীজ
- বীজ
- মনে হয়
- দেখা
- রেখাংশ
- গ্রস্ত
- পাঠান
- পাঠানোর
- গম্ভীর
- সেট
- বিন্যাস
- বিভিন্ন
- দোকান
- উচিত
- প্রদর্শনী
- স্থবির
- কেবল
- থেকে
- অবস্থা
- আয়তন
- মাপ
- ক্ষুদ্র তালা
- So
- যতদূর
- সামাজিক
- কিছু
- কিছু
- কোথাও
- সাউন্ডক্লাউড
- স্থান
- Spotify এর
- বিস্তার
- স্পাইওয়্যার
- শুরু
- শুরু
- শুরু হচ্ছে
- থাকা
- এখনো
- অপহৃত
- থামুন
- বন্ধ
- খবর
- গল্প
- জমা
- এমন
- অনুমিত
- বিস্ময়কর
- পদ্ধতি
- টেবিল
- গ্রহণ করা
- গ্রহণ
- আলাপ
- কথা বলা
- টীম
- বলা
- চেয়ে
- ধন্যবাদ
- যে
- সার্জারির
- বিশ্ব
- তাদের
- তাহাদিগকে
- তারপর
- সেখানে।
- এইগুলো
- তারা
- জিনিস
- কিছু
- মনে
- তৃতীয়
- এই
- এই সপ্তাহ
- সেগুলো
- চিন্তা
- হুমকি
- সময়
- বার
- TLS এর
- থেকে
- আজ
- একসঙ্গে
- অত্যধিক
- সরঞ্জাম
- শীর্ষ
- পথ
- ট্রাফিক
- রেলগাড়ি
- পরিবহন
- স্বচ্ছ
- চেষ্টা
- ট্রিগার
- ব্যাধি
- পরিণত
- আদর্শ
- সাধারণত
- অধীনে
- বোঝা
- বোধশক্তি
- দুর্ভাগ্যবশত
- অনন্য
- আপডেট
- আপডেট
- আপডেট
- কমিটি
- URL টি
- us
- ব্যবহার
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহার
- বিক্রেতা
- খুব
- দেখার
- দুষ্ট
- দুর্বলতা
- দুর্বলতা
- প্রয়োজন
- সনদ
- ছিল
- অপব্যয়
- উপায়..
- we
- দুর্বলতা
- ওয়েব
- ওয়েবকিট
- ওয়েবসাইট
- সপ্তাহান্তিক কাল
- আমরা একটি
- ছিল
- কি
- কখন
- কিনা
- যে
- যখন
- হু
- যে কেউ
- কেন
- ব্যাপকভাবে
- বন্য
- ইচ্ছা
- জানালা
- মোছা
- সঙ্গে
- ছাড়া
- শব্দ
- হয়া যাই ?
- কাজ
- বিশ্ব
- খারাপ
- মূল্য
- would
- লেখা
- লেখা
- ভুল
- বছর
- বছর
- এখনো
- আপনি
- আপনার
- zephyrnet
- শূন্য