মাইক্রোসফ্ট এজ ওয়েব ব্রাউজার। লেসোয়ার
নেটস্পিকারের সুরক্ষা গবেষক জিয়াহান আলবেনিজ মাইক্রোসফ্টের এজ ব্রাউজারে একটি দুর্বলতা আবিষ্কার করেছে যা ম্যালওয়্যার ছড়িয়ে দেওয়ার অনুমতি দিয়েছে। তিনি তার অনুসন্ধানগুলি প্রকাশ করেছিলেন CVE-2018-0871 ( সিভিএসএস ৩.০ বেস স্কোর ৪.৩) শিরোনামে তার প্রতিবেদনে ফাইল চুরি করার জন্য একটি মাইক্রোসফ্ট এজ দুর্বলতার সন্ধান করা '
আলবেনিজ ব্যাখ্যা করেছিলেন যে দুর্বলতাটি একই-উত্স নীতি বৈশিষ্ট্য-সংক্রান্ত ত্রুটি থেকে বেরিয়ে এসেছে। যখন শোষণ করা হয়, তখন দুর্বলতা ম্যালওয়্যার ছড়িয়ে দিতে ব্যবহৃত হতে পারে যা ফিশিং এবং তথ্য চুরির আক্রমণ চালাতে পারে। এই চ্যানেলের মাধ্যমে ম্যালওয়্যার ছড়িয়ে দেওয়ার একটি দুর্দান্ত কারণ হ'ল দূষিত ফাইলটি ডাউনলোড করতে ব্যবহারকারীর নিজস্ব ইনপুট। এই কারণেই দুর্বলতা একটি বৃহত্তর স্কেলগুলিতে কাজে লাগানো হয়নি এবং তাই বেশিরভাগ ব্রাউজার সুরক্ষা ত্রুটির তুলনায় কম ঝুঁকি তৈরি করেছিল।
একই-উত্স নীতি বৈশিষ্ট্যটি একটি ওয়েব অ্যাপ্লিকেশন সুরক্ষা মডেল যা কার্যত সমস্ত ইন্টারনেট ব্রাউজারে ব্যবহৃত হয়। এটি ওয়েব পৃষ্ঠাগুলি একই ডোমেন, প্রোটোকল এবং পোর্টের অন্তর্গত হওয়ার সাথে সাথে অন্য ওয়েবের ডেটা অ্যাক্সেস করার অনুমতি দেয়। এটি ওয়েব পৃষ্ঠাগুলির ক্রস-ডোমেন অ্যাক্সেসকে বাধা দেয়, এর অর্থ হ'ল যদি আপনি অন্য ট্যাবে লগ ইন করেছেন বা আপনি লগ আউট করতে ভুলে গেছেন তবে কোনও দূষিত ওয়েবসাইট আপনার ব্যাংক অ্যাকাউন্ট শংসাপত্রগুলি অ্যাক্সেস করতে পারে না।
এসওপি সুরক্ষা প্রক্রিয়াটি ব্যর্থ হয় এমন ক্ষেত্রে যখন কোনও ব্যবহারকারী কোনও দূষিত এইচটিএমএল ফাইল ডাউনলোড করার জন্য এবং এটি তাদের কম্পিউটারে চালানোর জন্য প্রতারিত হয়। একবার স্থানীয়ভাবে ফাইলটি সংরক্ষণ করা হয়ে গেলে, এটি 'ফাইল: //' প্রোটোকলে লোড হয় যার কোনও সেট ডোমেন বা পোর্ট নম্বর নেই। যেহেতু এসওপি ওয়েব পৃষ্ঠাগুলি কেবল একই ডোমেন / পোর্ট / প্রোটোকলের তথ্য অ্যাক্সেস করতে পারে, অন্য সমস্ত স্থানীয় ফাইলগুলি 'ফাইল: //' প্রোটোকলে যেমন চালু হয়, ডাউনলোড করা দূষিত এইচটিএমএল ফাইল স্থানীয় সিস্টেমে যে কোনও ফাইল অ্যাক্সেস করতে পারে এবং চুরি করতে পারে এটি থেকে তথ্য।
এই মাইক্রোসফ্ট এজ এসওপি দুর্বলতা লক্ষ্যবস্তু এবং সুনির্দিষ্ট আক্রমণ চালাতে ব্যবহৃত হতে পারে। একবার কোনও উদ্দেশ্যপ্রাপ্ত ব্যবহারকারী ফাইলটি ডাউনলোড এবং চালানোর জন্য প্রতারিত হয়ে গেলে, হ্যাকার তাদের পিসিতে থাকা তথ্যগুলি স্নুপ করতে পারে এবং সঠিক অনুসন্ধানের তথ্যটি চুরি করতে পারে, তবে সে কোথায় জানবে সে জেনে রাখে provided যেহেতু এই আক্রমণটি স্বয়ংক্রিয় নয়, ব্যবহারকারী এবং ব্যবহারকারীর শেষ সিস্টেমটি কার্যকরভাবে আক্রমণ চালিয়ে যেতে সহায়তা করে।
জিহায়ান আলবেনিজ এই আক্রমণটিকে প্রদর্শন করে একটি ছোট ভিডিও রেকর্ড করেছে। তিনি ব্যাখ্যা করেছিলেন যে তিনি কম্পিউটার থেকে ডেটা চুরি করতে এবং দূর থেকে অন্য ডিভাইসে পুনরুদ্ধার করতে এজ, মেল এবং ক্যালেন্ডারে এই দুর্বলতাটি কাজে লাগাতে সক্ষম হন।
মাইক্রোসফ্ট তার এজ ব্রাউজারের জন্য একটি আপডেট এনেছে যা এই দুর্বলতার সমাধান করে। আপডেটটি প্রকাশিত মাইক্রোসফ্ট এজ সম্পর্কিত সমস্ত উইন্ডোজ 10 সংস্করণের জন্য উপলব্ধ পরামর্শদাতা বুলেটিন এই এসওপি দুর্বলতার সমাধানের জন্য আপডেটটি প্রকাশ করা হয়েছে তবুও, আলবেনিজ এখনও হুঁশিয়ারি উচ্চারণ করেছেন যে ব্যবহারকারীরা অজানা উত্স থেকে প্রাপ্ত এইচটিএমএল ফাইলগুলি সম্পর্কে সতর্ক থাকতে হবে। এইচটিএমএল কোনও ম্যালওয়্যার ছড়িয়ে দেওয়ার জন্য ব্যবহৃত প্রচলিত ফাইল টাইপ নয় যার কারণে এটি প্রায়শই সন্দেহহীন হয়ে পড়ে এবং ক্ষতির কারণ হয়।
![[ফিক্স] থান্ডারবার্ড কনফিগারেশন যাচাই করা যায়নি](https://jf-balio.pt/img/how-tos/70/thunderbird-configuration-could-not-be-verified.png)
