मुख्य तथ्य
- विंडोज 10 और विंडोज 11 में एक बग है जिसे माइक्रोसॉफ्ट पिछले दो प्रयासों के बावजूद ठीक नहीं कर पाया है।
- 0पैच प्रोजेक्ट द्वारा बग के लिए एक अनौपचारिक सुधार मुफ्त में जारी किया गया है।
-
0पैच जैसे प्रोजेक्ट आपके कंप्यूटर को तब तक सुरक्षित रखने में मदद करते हैं, जब तक कि किसी भेद्यता का आधिकारिक समाधान नहीं हो जाता।
विशेषज्ञों का कहना है कि
विंडोज 10 और विंडोज 11 में एक दोष को ठीक करने के लिए एक अनौपचारिक पैच लिया गया जिसे माइक्रोसॉफ्ट पिछले कुछ महीनों में कुछ प्रयासों के बावजूद ठीक नहीं कर पाया।
तकनीकी रूप से विशेषाधिकार वृद्धि दोष के रूप में वर्गीकृत, बग हमलावरों को प्रशासक बनने में सक्षम बनाता है यदि उनके पास कंप्यूटर तक भौतिक पहुंच है। दिलचस्प बात यह है कि Microsoft ने पहली बार अगस्त 2021 में बग को ठीक किया था, इससे पहले कि जिस शोधकर्ता ने इसे खोजा, उसने पाया कि फिक्स टूट गया था। माइक्रोसॉफ्ट ने फिर जनवरी 2022 में इसे फिर से पैच किया, लेकिन यह दूसरा फिक्स भी अप्रभावी पाया गया।
"दुर्भाग्य से, किसी भी विक्रेता के लिए भेद्यता को ठीक करने का प्रयास करने की तुलना में यह अधिक सामान्य है, केवल लोगों को यह पता लगाने के लिए कि फिक्स उतना पूर्ण नहीं है जितना होना चाहिए," विल डॉर्मन, भेद्यता सीईआरटी/सीसी के विश्लेषक ने ट्विटर डीएम में लाइफवायर को बताया।
तीसरी बार भाग्यशाली
बग की खोज सुरक्षा शोधकर्ता अब्देलहामिद नसेरी ने की थी, जिन्होंने तब माइक्रोसॉफ्ट के पैच को अप्रभावी बताकर खारिज कर दिया था। अपने दावे का समर्थन करने के लिए, नसेरी ने लिखा कि भेद्यता को प्रदर्शित करने के लिए प्रूफ-ऑफ-कॉन्सेप्ट कोड के रूप में जाना जाता है, जिसका अभी भी फायदा उठाया जा सकता है।
मित्जा कोलसेक, 0पैच प्रोजेक्ट के सह-संस्थापक, जिसने बग के लिए अनौपचारिक सुधार जारी किया है, ने ईमेल पर लाइफवायर को बताया कि एकमात्र बचत अनुग्रह यह है कि बग का इंटरनेट पर दूरस्थ रूप से शोषण नहीं किया जा सकता है।इसका मतलब है कि हमलावरों को आपकी मशीन तक भौतिक पहुंच की आवश्यकता होगी या लोगों को उनके कंप्यूटर को संभालने के लिए उनके संक्रामक कोड को चलाने के लिए छल करने का कोई तरीका खोजना होगा।
तकनीकी रूप से बग को तोड़ते हुए, कोल्सेक ने कहा कि इस प्रकृति की खामियां "ठीक करने में मुश्किल" हैं, और उनकी टीम ने अतीत में ऐसी कई खामियां पाई हैं। "काफी निष्पक्ष होने के लिए, अगर हम में से किसी ने इस ज्ञान के बिना इस दोष को ठीक करने का प्रयास किया है कि अब हमारे पास समान दोषों के बारे में है, तो हम शायद इसे कम से कम दो बार गलत तरीके से ठीक कर देंगे," कोल्सेक ने कहा।
नासेरी ने लाइफवायर को एक ट्विटर डायरेक्ट मैसेज भेजा कि यह पुष्टि करने के लिए कि 0patch द्वारा जारी किए गए फिक्स ने इस मुद्दे को सफलतापूर्वक हल कर दिया है। रिपोर्टों के अनुसार, Microsoft ने 0patch को स्वीकार करते हुए एक बयान जारी किया है और अपने ग्राहकों की सुरक्षा के लिए आवश्यक कार्रवाई करेगा।
पैच प्रबंधन
0patch जैसे प्रोजेक्ट प्रति-सहज प्रतीत हो सकते हैं क्योंकि Microsoft जैसे सॉफ़्टवेयर प्रदाता अपने सॉफ़्टवेयर के साथ समस्याओं को ठीक करने के लिए नियमित रूप से अपडेट तैयार करते हैं।
कोलसेक बताते हैं कि आमतौर पर भेद्यता की पहचान करने और उसे ठीक करने के बीच बहुत समय बीत जाता है। ज्ञात भेद्यताएं जिनका कोई समाधान नहीं है, उन्हें शून्य-दिन के रूप में जाना जाता है, और हमलावर आमतौर पर बड़े सॉफ़्टवेयर विक्रेताओं की प्रतिक्रिया की तुलना में बहुत तेज़ी से एक शोषण में प्रकाशित भेद्यता को बदल देते हैं।
"जब हम इस तरह की भेद्यता का सामना करते हैं, तो हम इसे अपनी प्रयोगशाला में पुन: पेश करने का प्रयास करते हैं और इसके लिए स्वयं एक पैच बनाते हैं। एक बार पैच हो जाने के बाद, हम इसे अपने सर्वर के माध्यम से सभी 0patch उपयोगकर्ताओं को वितरित करते हैं, और 60 के भीतर मिनट, यह सभी 0पैच-संरक्षित सिस्टम पर लागू होता है," कोल्सेक ने समझाया।
और Naceri द्वारा पहचानी गई भेद्यता के लिए ठीक की तरह, 0patch अपने पैच के लिए तब तक शुल्क नहीं लेता जब तक कि Microsoft से कोई आधिकारिक समाधान नहीं मिल जाता।
0पैच विंडोज के लोकप्रिय लेकिन असमर्थित संस्करणों को सुरक्षित करने में भी मदद करता है, जैसे कि विंडोज 7। यह विंडोज 10 के कुछ पुराने संस्करणों का भी समर्थन करता है जिन्हें या तो माइक्रोसॉफ्ट से आधिकारिक पैच प्राप्त नहीं होते हैं, या अपडेट एक तेज कीमत पर आते हैं, उन्हें नियमित लोगों की पहुंच से दूर रखना जो तब असुरक्षित सिस्टम चलाना जारी रखते हैं।
कोलसेक ने जोर देकर कहा कि अभी भी समर्थित विंडोज संस्करणों पर, लोगों को 0patch को एक विकल्प के बजाय आधिकारिक पैच के अतिरिक्त के रूप में सोचना चाहिए, यह कहते हुए कि 0patches उन कंप्यूटरों पर सबसे अच्छा काम करते हैं जिनमें सभी आधिकारिक पैच स्थापित हैं।
