Google বিশেষজ্ঞরা Windows 10

Google-এর তথ্য নিরাপত্তা বিশেষজ্ঞদের একটি দল প্রোজেক্ট জিরো উইন্ডোজ 10-এর একটি গ্রাফিকাল কম্পোনেন্টে রিমোট কোড এক্সিকিউশন ক্রিটিক্যাল বাগ কাজে লাগানোর জন্য প্রযুক্তিগত বিবরণ এবং একটি এক্সপ্লয়েট (PoC কোড) প্রকাশ করেছে৷

সমস্যাটি 20H2 সংস্করণের চেয়ে পুরানো Windows 10 এবং Windows সার্ভারের একাধিক সংস্করণকে প্রভাবিত করে৷

90-দিনের প্রকাশের সময়সীমার পরে, প্রোজেক্ট জিরো সম্পূর্ণরূপে প্যাচ করা Windows 10 (1909) সিস্টেমে চলমান ব্রাউজারগুলিতে সমস্যাটি পুনরুত্পাদন করার দুর্বলতাকে কাজে লাগানোর জন্য একটি PoC পরীক্ষার কোড প্রকাশ করেছে৷

DirectWrite API প্রধান ওয়েব ব্রাউজার যেমন Chrome, Firefox, এবং Edge-এ ডিফল্ট ফন্ট রাস্টারাইজার হিসেবে ব্যবহৃত হয় ওয়েব ফন্ট গ্লিফ রেন্ডার করার জন্য।

যেহেতু ব্রাউজারগুলি ফন্ট রেন্ডার করার জন্য DirectWrite API ব্যবহার করে, আক্রমণকারীরা দুর্বলতাকে কাজে লাগিয়ে মেমরি দুর্নীতির অবস্থা তৈরি করতে পারে যা তাদের লক্ষ্য সিস্টেমে দূরবর্তীভাবে নির্বিচারে কোড চালানোর অনুমতি দিতে পারে।

আক্রমণকারীরা দূষিতভাবে তৈরি করা TrueType ফন্টগুলির সাহায্যে একটি ভিকটিমকে ওয়েবসাইট দেখার জন্য প্রতারণা করতে পারে যা fsg_ExecuteGlyph API ফাংশনে একটি হিপ-ভিত্তিক বাফার ওভারফ্লো সৃষ্টি করে।

বিশেষজ্ঞরা গত নভেম্বরে মাইক্রোসফ্ট সিকিউরিটি রেসপন্স সেন্টারে সমস্যাটি রিপোর্ট করেছেন। সংস্থাটি এই বছরের ফেব্রুয়ারিতে এই সমস্যাটির সমাধানের জন্য সুরক্ষা আপডেট প্রকাশ করেছে৷

আমি আপনাকে আরও মনে করিয়ে দিই যে আমরা রিপোর্ট করেছি যে Google Project Zero সতর্ক করে যে ফ্রেশ Windows LSASS প্যাচ অকার্যকর৷