অদ্ভুত কিছু নয়, শূন্য নাটক ... তবে অন্যটি আবিষ্কার করা হয়েছে দুর্বলতা, CVE-2020-10713, যা GRUB2 বুটলোডার এবং সুরক্ষিত বুটকে প্রভাবিত করে। এই সন্ধানের পিছনে যে রয়েছে এবং তারা বুটহোল হিসাবে বাপ্তিস্ম নিয়েছে, সেগুলিই ইলিপসিয়াম গবেষণা দলের একটি প্রকাশনা। এমনকি মাইক্রোসফ্ট তার সুরক্ষা পোর্টালে এটির সতর্ক করে এবং দাবি করেছে যে এই মুহূর্তে একটি জটিল সমাধান রয়েছে an
বুটহোল এটি একটি বাফার ওভারফ্লো দুর্বলতা যা GRUB2 এর সাথে কোটি কোটি ডিভাইস এবং এমনকি GRUB2 ব্যতীত অন্যগুলিকে প্রভাবিত করে যা উইন্ডোজের মতো সুরক্ষিত বুট ব্যবহার করে। সিভিএসএস সিস্টেমের শ্রেণিবিন্যাসে এটি 8.2 এর মধ্যে 10 হিসাবে স্কোর হয়েছে, যার অর্থ এটি উচ্চ ঝুঁকিপূর্ণ। এবং এটি হ'ল কোনও আক্রমণকারী বুট প্রক্রিয়া চলাকালীন সিকিওর বুট সক্ষম থাকা সত্ত্বেও স্বেচ্ছাসেবক কোড (ম্যালওয়্যার সহ) চালু করতে সক্ষম হয়ে এই সুবিধা গ্রহণ করতে পারে।
তত পরিমাণে ডিভাইসের নেটওয়ার্ক, সার্ভার, ওয়ার্কস্টেশন, ডেস্কটপ এবং ল্যাপটপগুলির পাশাপাশি অন্যান্য ডিভাইস যেমন এসবিসি, নির্দিষ্ট মোবাইল ডিভাইস, আইওটি ডিভাইস ইত্যাদি প্রভাবিত হবে।
তদুপরি, এক্লিপসিয়াম অনুসারে, এটি হবে প্রশমিত করা জটিল এবং এর সমাধান খুঁজতে সময় লাগবে। এটির জন্য বুটলোডারগুলির গভীর পর্যালোচনা প্রয়োজন এবং বিক্রেতাদের ইউইএফআই সিএ স্বাক্ষরিত বুটলোডারগুলির নতুন সংস্করণ প্রকাশ করা উচিত। এটি মাইক্রোসফ্ট ওপেন সোর্স এর বিকাশকারী এবং সহযোগী সম্প্রদায় এবং অন্যান্য আক্রান্ত সিস্টেমের মালিকদের মধ্যে বুটহোলকে নামিয়ে আনতে সমন্বিত প্রচেষ্টা গ্রহণ করবে।
আসলে, তারা একটি তৈরি করেছে টাস্ক তালিকা GRUB2 এ বুটহোল ঠিক করতে সক্ষম হতে এবং আপনার প্রয়োজন:
- GRUB2 আপডেট করার জন্য প্যাচ এবং দুর্বলতা দূর করতে।
- লিনাক্স বিতরণ এবং অন্যান্য বিক্রেতারা তাদের ব্যবহারকারীদের জন্য আপডেটগুলি প্রকাশ করে। উভয়ই GRUB2 স্তরে ইনস্টলার এবং শিমস।
- নতুন শিমগুলি তৃতীয় পক্ষের জন্য মাইক্রোসফ্ট ইউইএফআই সিএ দ্বারা স্বাক্ষর করতে হবে।
- অপারেটিং সিস্টেমের প্রশাসকদের অবশ্যই আপডেট করতে হবে। তবে এতে অবশ্যই ইনস্টল করা সিস্টেম, ইনস্টলার ইমেজ এবং পুনরুদ্ধার বা বুটযোগ্য মিডিয়া উভয়ই অন্তর্ভুক্ত থাকতে হবে they
- বুট চলাকালীন কোড কার্যকর করতে বাধা দেওয়ার জন্য প্রতিটি প্রভাবিত সিস্টেমের ফার্মওয়্যারের মধ্যে ইউইএফআই প্রত্যাহার তালিকা (ডিবিএক্স) আপডেট করতে হবে।
সবচেয়ে খারাপটি হ'ল এটি যখন ফার্মওয়্যারটির কথা আসে তখন আপনার সমস্যা থেকে শেষ না হওয়ার এবং কম্পিউটারগুলি যাতে না থাকে সে সম্পর্কে সতর্ক থাকতে হবে ইট মোডে.
এই মুহুর্তে, রেড হ্যাট, এইচপি, ডেবিয়ান, এসইউএসই, ক্যানোনিকাল, ওরাকল, মাইক্রোসফ্ট, ভিএমওয়্যার, সিট্রিক্স, ইউইএফআই সুরক্ষা প্রতিক্রিয়া দল এবং ওএমএস, পাশাপাশি সফ্টওয়্যার সরবরাহকারী, তারা ইতিমধ্যে এটি সমাধানের জন্য কাজ করছে। তবে, প্রথম প্যাচগুলি দেখার জন্য আমাদের অপেক্ষা করতে হবে।
আপডেট
তবে বিকাশকারীদের এবং সম্প্রদায়ের কার্যকারিতাটিকে অবমূল্যায়ন করা বোকামি। ইতিমধ্যে বেশ কয়েকটি প্যাচ প্রার্থী রয়েছেন এটি হ্রাস করতে যা রেড হ্যাট, ক্যানোনিকাল ইত্যাদির মতো সংস্থাগুলি থেকে আসছে it তারা এই বিষয়টিকে সর্বোচ্চ অগ্রাধিকার হিসাবে পতাকাঙ্কিত করেছে এবং এটি প্রদান করা হচ্ছে।
সমস্যাটি? সমস্যাটি হ'ল এই প্যাচগুলি অতিরিক্ত সমস্যা তৈরি করছে। এটি আমাকে মেটলডাউন এবং স্পেকটার প্যাচগুলির সাথে কী ঘটেছিল তা মনে করিয়ে দেয়, কখনও কখনও প্রতিকারটি রোগের চেয়ে খারাপ হয় ...