Critical Rust Flaw Poses Exploit Threat In Specific Windows Use Cases

রাস্ট প্রজেক্ট তার স্ট্যান্ডার্ড লাইব্রেরির জন্য একটি আপডেট জারি করেছে, যখন একজন দুর্বলতা গবেষক আবিষ্কার করেছেন যে উইন্ডোজ সিস্টেমে ব্যাচ ফাইলগুলি চালানোর জন্য ব্যবহৃত একটি নির্দিষ্ট ফাংশন ইনজেকশন ত্রুটি ব্যবহার করে শোষণ করা যেতে পারে।

রাস্ট প্রোগ্রামিং ভাষার সাথে অন্তর্ভুক্ত সাধারণ ফাংশনগুলির সেট, যা স্ট্যান্ডার্ড লাইব্রেরি নামে পরিচিত, এটি কমান্ড এপিআই-এর মাধ্যমে উইন্ডোজ ব্যাচ ফাইলগুলি চালানোর ক্ষমতা - এর অন্যান্য অনেক ক্ষমতার মধ্যে - প্রদান করে। ফাংশনটি, যদিও, এপিআই-তে ইনপুটগুলিকে যথেষ্ট কঠোরভাবে প্রক্রিয়া করেনি যাতে এক্সিকিউশনের মধ্যে কোড ইনজেকশনের সম্ভাবনা বাদ দেওয়া যায়। একটি মরিচা নিরাপত্তা প্রতিক্রিয়া ওয়ার্কিং গ্রুপ পরামর্শ 9 এপ্রিল প্রকাশিত।

যদিও মরিচা তার স্মৃতি-নিরাপত্তা বৈশিষ্ট্যের জন্য সুপরিচিত, ঘটনাটি স্পষ্ট করে যে প্রোগ্রামিং ভাষা লজিক বাগগুলির বিরুদ্ধে প্রমাণ নয়, ইয়ার মিজরাহি বলেছেন, অ্যাপ্লিকেশন-সিকিউরিটি ফার্ম JFrog-এর একজন সিনিয়র দুর্বলতা গবেষক।

"সামগ্রিকভাবে, মরিচা-এর মেমরি নিরাপত্তা একটি উল্লেখযোগ্য সুবিধা, কিন্তু ডেভেলপারদের তাদের জং-ভিত্তিক অ্যাপ্লিকেশনগুলির সামগ্রিক নিরাপত্তা এবং নির্ভরযোগ্যতা নিশ্চিত করার জন্য যৌক্তিক বাগগুলির সম্ভাব্যতার দিকেও গভীর মনোযোগ দিতে হবে," তিনি বলেছেন। "এই ধরনের যৌক্তিক সমস্যাগুলি সমাধান করার জন্য, মরিচা একটি কঠোর পরীক্ষা এবং কোড পর্যালোচনা প্রক্রিয়াকে উত্সাহিত করে, সেইসাথে যৌক্তিক বাগগুলি সনাক্ত করতে এবং প্রশমিত করতে স্ট্যাটিক বিশ্লেষণ সরঞ্জামগুলির ব্যবহারকে উত্সাহিত করে।"

মরিচা একটি অত্যন্ত সুরক্ষিত প্রোগ্রামিং ভাষা হিসাবে খ্যাতি অর্জন করেছে, কারণ এটি মেমরি-নিরাপত্তা দুর্বলতা হিসাবে পরিচিত ত্রুটিগুলির প্রায়শই-গুরুতর শ্রেণীর অ্যাপ্লিকেশনগুলিকে খোলা রাখে না। গুগল দায়ী করেছে মেমরি-অনিরাপদ কোড একটি ড্রপ মেমরি-সেফ ল্যাঙ্গুয়েজ, যেমন রাস্ট এবং কোটলিন-এ স্থানান্তর করতে, যখন মাইক্রোসফ্ট দেখেছে যে 2018 সাল পর্যন্ত, যখন এটি মেমরি-নিরাপদ ভাষায় স্থানান্তরিত হয়েছিল, এই ধরনের দুর্বলতাগুলি নিয়মিতভাবে সমস্ত নিরাপত্তা সমস্যার 70% জন্য দায়ী.

উইন্ডোজ একটি ব্যাচ ইস্যু করে

সর্বশেষ সমস্যাটি মেমরি-নিরাপত্তার দুর্বলতা নয়, কিন্তু অবিশ্বস্ত ইনপুট প্রক্রিয়া করার জন্য ব্যবহৃত যুক্তির সাথে একটি সমস্যা। রাস্টের স্ট্যান্ডার্ড লাইব্রেরির অংশটি বিকাশকারীকে প্রক্রিয়াকরণের জন্য উইন্ডোজ মেশিনে একটি ব্যাচ ফাইল পাঠানোর জন্য একটি ফাংশন কল করার অনুমতি দেয়। একটি ব্যাচ ফাইল হিসাবে হোস্টে কোড জমা দেওয়ার কারণ রয়েছে, রাস্ট ফাউন্ডেশনের প্রযুক্তি পরিচালক জোয়েল মার্সি বলেছেন, যা প্রোগ্রামিং ভাষার রক্ষণাবেক্ষণকারী এবং রাস্ট ইকোসিস্টেমকে সমর্থন করে।

"ব্যাচ ফাইলগুলি সিস্টেমে অনেক কারণে চালিত হয়, এবং মরিচা একটি API প্রদান করে যা আপনাকে মোটামুটি সহজে চালানোর অনুমতি দেয়," তিনি বলেছেন। "সুতরাং এটি জং-এর জন্য অগত্যা সবচেয়ে সাধারণ ব্যবহারের ক্ষেত্রে নয়, এপিআই, ফিক্সড প্যাচ প্রয়োগ করার আগে, দূষিত অভিনেতাদের তাত্ত্বিকভাবে নির্বিচারে আদেশ চালানোর মাধ্যমে আপনার সিস্টেম দখল করার অনুমতি দেওয়া হয়েছিল এবং এটি অবশ্যই একটি গুরুতর দুর্বলতা।"

সাধারণত, একজন ডেভেলপার স্ট্যান্ডার্ড লাইব্রেরির অংশ, কমান্ড অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস (API) এর মাধ্যমে একটি ব্যাচ প্রক্রিয়া হিসাবে কার্যকর করার জন্য উইন্ডোজ হোস্টের কাছে একটি কাজের চাপ ফরোয়ার্ড করতে পারে। সাধারণত, রাস্ট কমান্ড এপিআই-তে যে কোনও কলের সুরক্ষার গ্যারান্টি দেয়, তবে এই ক্ষেত্রে, মরিচা প্রকল্পটি সমস্ত আর্গুমেন্টের সম্পাদন রোধ করার উপায় খুঁজে পায়নি, প্রাথমিকভাবে কারণ উইন্ডোজ কোনও ধরণের মান মেনে চলে না এবং যে API একটি আক্রমণকারীকে কোড জমা দেওয়ার অনুমতি দিতে পারে যা তখন কার্যকর করা হবে।

"দুর্ভাগ্যবশত এটি রিপোর্ট করা হয়েছে যে আমাদের পালানোর যুক্তি যথেষ্ট পুঙ্খানুপুঙ্খ ছিল না, এবং এটি দূষিত যুক্তি পাস করা সম্ভব ছিল যার ফলে নির্বিচারে শেল মৃত্যুদন্ড ঘটবে," রাস্ট সিকিউরিটি রেসপন্স ডব্লিউজি অনুসারে।

মরিচা প্রকল্প প্রতিক্রিয়াশীল প্রমাণিত

যেকোন দুর্বলতার সাথে মোকাবিলা করা মাথাব্যথা হতে পারে, রাস্ট প্রজেক্ট দেখিয়েছে যে গ্রুপটি দ্রুত সমস্যার সমাধান করে, বিশেষজ্ঞরা বলছেন। স্ট্যান্ডার্ড লাইব্রেরি দুর্বলতা, জন্য CVE-2024-24576, শেষ পর্যন্ত উইন্ডোজ ব্যাচ-প্রসেসিং সমস্যার সাথে একটি সমস্যা এবং অন্যান্য প্রোগ্রামিং ভাষাগুলিকে প্রভাবিত করে, যদি তারা উইন্ডোজ ব্যাচ প্রক্রিয়ায় পাঠানো আর্গুমেন্টগুলিকে পর্যাপ্তভাবে পার্স না করে। JFrog's Mizrahi বলেছেন, Windows CMD.exe প্রক্রিয়ায় আর্গুমেন্ট পাস করার জন্য মরিচা প্রকল্পটি প্রথম দরজার বাইরের বলে মনে হচ্ছে।

গোষ্ঠীগুলি সম্পূর্ণভাবে সমস্যাটি নির্মূল করতে পারেনি, তবে কমান্ড API কোনও ত্রুটি ফেরত দেবে না যখন ফাংশনে পাস করা কোনও বৃদ্ধি অনিরাপদ হতে পারে, মরিচা প্রকল্প বলেছে।

JFrog's Mizrahi রাস্টকে তার স্ট্যাটিক অ্যাপ্লিকেশন সিকিউরিটি টেস্টিং এর ব্যবহার প্রসারিত করার এবং ফাজিং এবং ডাইনামিক টেস্টিং এর ব্যবহার প্রসারিত করার জন্য অনুরোধ করেছে।

"সামগ্রিকভাবে, মেমরি সুরক্ষার উপর জোর দিয়ে এবং কঠোর পরীক্ষার অনুশীলনকে উত্সাহিত করে মরিচা সঠিক পথে রয়েছে," তিনি বলেছেন। "স্থির বিশ্লেষণ এবং অস্পষ্টকরণে অব্যাহত অগ্রগতির সাথে এই প্রচেষ্টাগুলিকে একত্রিত করা মরিচা সম্প্রদায় এবং বৃহত্তর সফ্টওয়্যার শিল্পকে আগামী বছরগুলিতে যৌক্তিক বাগ এবং ইনপুট বৈধতা ত্রুটিগুলি মোকাবেলায় উল্লেখযোগ্য অগ্রগতি করতে সহায়তা করতে পারে।"

এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
উত্স: https://www.darkreading.com/application-security/critical-rust-flaw-poses-exploit-threat-in-specific-windows-use-cases

জেনারেটিভ ডেটা ইন্টেলিজেন্স

জটিল মরিচা ত্রুটি নির্দিষ্ট উইন্ডোজ ব্যবহারের ক্ষেত্রে হুমকি শোষণ করে

উইন্ডোজ একটি ব্যাচ ইস্যু করে

মরিচা প্রকল্প প্রতিক্রিয়াশীল প্রমাণিত

সর্বশেষ বুদ্ধিমত্তা

ট্রেডার প্রতারণা থেকে মেম স্টক ম্যানিয়া পর্যন্ত: ক্রিপ্টোকারেন্সি ওয়ার্ল্ডের উচ্চ এবং নিম্ন নেভিগেট করা

জালিয়াতি, উন্মত্ততা এবং পূর্বাভাস: ক্রিপ্টোকারেন্সি ওয়ার্ল্ডের উচ্চ এবং নিম্ন গতিপথ নেভিগেট করা

ট্রেডিং ট্রাইম্ফস থেকে প্রতারণামূলক ফলস: $110 মিলিয়ন ক্রিপ্টো স্কিম এবং রবিনহুডের রেকর্ড আয়