কর্টানা। এমএসএফটি-তে
মাইক্রোসফ্ট এর উইন্ডোজ 10 একটি খুব স্বনির্ধারিত অপারেটিং সিস্টেম হিসাবে পরিচিত। এটি অপারেটিং সিস্টেমটিকেও কাজে লাগানোর বিভিন্ন উপায়ে অনুমতি দেয়। এটি অনুমোদিত, তবে মাইক্রোসফ্ট তার সিস্টেমের সুরক্ষার ধারাবাহিক উন্নতির জন্য নিজেকে নিবেদিত করে, দ্রুত সুরক্ষার আপডেটগুলি এবং গুরুতর দুর্বলতার সন্ধানের জন্য বাগ সংশোধন করে। মাইক্রোসফ্ট উইন্ডোজের উন্নতিতে এই প্রচেষ্টা চালিয়ে যাওয়ায়, আরও একটি দুর্বলতা সামনে এসেছে যা হ্যাকারদের কেবল একটি ডিভাইসে ভয়েস কমান্ড ব্যবহার করে একটি সিস্টেমে স্বেচ্ছাসেবক কমান্ড পরিচালনা করতে দেয়।
মাইক্রোসফ্টের ডিজিটাল ভয়েস প্রতিক্রিয়া-ভিত্তিক সহকারী, কর্টানার একটি দুর্বলতা, 'ওপেন তিল' বলা হচ্ছে vulne এই দুর্বলতাটি লাস ভেগাসে ব্ল্যাক হ্যাট ইউএসএ 2018 সম্মেলনে আলোচনা হয়েছিল যা কিছুদিন আগে শেষ হয়েছিল। এটি আবিষ্কার হয়েছিল যে ওপেন তিল দুর্বলতা হ্যাকারদের সংবেদনশীল ডেটা অ্যাক্সেস করার জন্য ভয়েস কমান্ড ব্যবহার করার পাশাপাশি সিস্টেমটি কমান্ডগুলি ফাইলগুলি ডাউনলোড বা চালানোর জন্য দেয় যা এটি দূষিত সার্ভারগুলির সাথে সংযুক্ত করতে পারে। এগুলি ছাড়াও, কম্পিউটারটি লক স্ক্রিনে লকড থাকা অবস্থায়ও কেবল ভয়েস কমান্ডই এই ক্রিয়াগুলি সম্পাদন করার জন্য সিস্টেমকে কিছু বিশেষ সুযোগ প্রদান করার জন্য যথেষ্ট ছিল।
যেমন কর্টানা ভয়েস-ভিত্তিক সহকারী হিসাবে নকশাকৃত হয়েছে, এমনকি সিস্টেমটি লক করা থাকলেও, ভয়েস কমান্ডটি অনুমতি দেওয়ার পক্ষে ভয়েস যথেষ্ট হওয়ায় সিস্টেমটি আনলক করতে কোনও কীবোর্ড প্রবেশ বা মাউস প্রয়োজনীয়তা বাইপাস করা যথেষ্ট বলে মনে করা হয়। আরও কী হ'ল পর্দা লক হওয়া সত্ত্বেও, উইন্ডোজ 10 যেহেতু পটভূমিতে নির্বিশেষে এর অ্যাপ্লিকেশনগুলি চালায়, ভয়েস কমান্ড চলমান অ্যাপ্লিকেশনগুলিতে একটি নির্দিষ্ট উপায়ে আচরণের জন্য নির্দেশ করতে পারে।
দুর্বলতার লেবেল দেওয়া হয়েছে CVE-2018-8410 । এটি উইন্ডোজ 10 ফলাল ক্রিয়েটার্স আপডেট v1709, এপ্রিল 2018 আপডেট v1803, এবং আরও নতুন আপডেটগুলিকে প্রভাবিত করতে দেখা গেছে। মাইক্রোসফ্টকে এপ্রিল মাসে এই দুর্বলতার কথা জানানো হয়েছিল, যখন ইস্রায়েলীয় গবেষকরা এটি আবিষ্কার করেছিলেন তাদের কাছে এটি সামনে এলো। মাইক্রোসফ্ট এই সমালোচনামূলক দুর্বলতার বিষয়টিতে কেবল নিম্নলিখিত বিবৃতিটি প্রকাশ করেছে।
প্রাইভেলিজ দুর্বলতার একটি উচ্চতা বিদ্যমান যখন কর্টানা স্ট্যাটাসের জন্য বিবেচনা না করে ব্যবহারকারী ইনপুট পরিষেবাগুলি থেকে ডেটা উদ্ধার করে। কোনও আক্রমণকারী যিনি দুর্বলতার সফলভাবে কাজে লাগিয়েছেন উচ্চতর অনুমতি নিয়ে কমান্ড কার্যকর করতে পারে। দুর্বলতা কাজে লাগাতে, আক্রমণকারীটির জন্য শারীরিক / কনসোল অ্যাক্সেস প্রয়োজন হবে এবং সিস্টেমটিকে কর্টানা সহায়তা সক্ষম করতে হবে। মাইক্রোসফ্ট - ইনপুট পরিষেবাগুলি থেকে তথ্য পুনরুদ্ধার করার সময় কর্টানা স্থিতি বিবেচনা করে তা নিশ্চিত করে সুরক্ষা আপডেটটি দুর্বলতার দিকে নজর দেয়
আপনার ডিভাইসটিকে আপনার নিজস্ব সীমার মধ্যে রেখে দেওয়া ছাড়াও কোনও প্রশমন কৌশল উপলব্ধ নেই যাতে কাছের কোনও আক্রমণকারী শোষণের জন্য ভয়েস কমান্ড দিতে না পারে। আমরা এই সমস্যাটি সমাধানের জন্য মাইক্রোসফ্টের একটি আপডেটের জন্য অপেক্ষা করছি।
রন মার্কোভিচের নীচের ভিডিওটি শোষণকে কর্মক্ষমতায় দেখায়।
