প্রধান সফটওয়্যার Adobe PDF প্যাচ বিলম্ব ব্যাখ্যা করে
সফটওয়্যার

Adobe PDF প্যাচ বিলম্ব ব্যাখ্যা করে

খবরট্যাবলেট এস ডিসেম্বর 18, 2009 5:34 am PST

Adobe একটি গুরুত্বপূর্ণ পিডিএফ বাগ প্যাচ করার জন্য জানুয়ারির মাঝামাঝি পর্যন্ত অপেক্ষা করা বেছে নিয়েছে কারণ একটি জরুরি আপডেট জারি করা তার ত্রৈমাসিক নিরাপত্তা আপডেটের সময়সূচীকে ব্যাহত করবে, কোম্পানি শুক্রবার বলেছে।

যদি না ব্যবহারকারীরা Adobe এর প্রস্তাবিত সমাধানগুলির একটি প্রয়োগ না করেন, সিদ্ধান্তটি 12 জানুয়ারী পর্যন্ত আক্রমণের জন্য সিস্টেমগুলিকে উন্মুক্ত রাখবে, যখন প্যাচ প্রকাশ করা হয় . বেশ কয়েকটি নিরাপত্তা সংস্থার মতে, ত্রুটিটি অন্তত 20 নভেম্বর থেকে অপরাধীরা ব্যবহার করছে। অ্যাডোব সোমবারই জানতে পেরেছে যে তার রিডার এবং অ্যাক্রোব্যাট অ্যাপ্লিকেশনগুলির দুর্বলতা সক্রিয়ভাবে কাজে লাগানো হচ্ছে।

আমাদের কাছে দুটি বিকল্প ছিল, ব্র্যাড আরকিন, পণ্য সুরক্ষা এবং গোপনীয়তার জন্য অ্যাডোবের পরিচালক, কোম্পানির সমস্যা বর্ণনা করে। আমরা এই একটি দুর্বলতার জন্য একটি আউট-অফ-সাইকেল আপডেট করতে পারি, এবং যত দ্রুত সম্ভব কিছু বের করতে পারি, বা 12 জানুয়ারী প্রকাশে এটি কাজ করার চেষ্টা করতে পারি।



প্রাক্তন, যা দুই বা তিন সপ্তাহের মধ্যে ব্যবহারকারীদের জন্য বর্তমান শূন্য-দিনের জন্য একটি ফিক্স অর্জিত হবে, আরকিন বলেন, একটি নিম্ন দিক ছিল। রিডার/অ্যাক্রোব্যাট প্যাচ কাজের মধ্যে ইঞ্জিনিয়ারদের টানলে, অ্যাডোবকে ইতিমধ্যেই নির্ধারিত 12 জানুয়ারী আপডেটটি কমপক্ষে ফেব্রুয়ারিতে পিছিয়ে দিতে হবে।

আইক্লাউডে ফোন নম্বর কীভাবে পরিবর্তন করবেন

সত্যিই তৃতীয় বিকল্প ছিল না, আরকিন দাবি করেছেন যে, অ্যাডোবের পক্ষে উভয়ই করা অসম্ভব ছিল—ডিসেম্বরের শেষ নাগাদ লোকজনের কাছে একটি জরুরি প্যাচ চালান, তারপরে ঘুরে দাঁড়ান এবং আপডেটের জন্য 12 জানুয়ারির সময়সীমা পূরণ করুন। ইতিমধ্যেই চলছে

ছুটির দিনে অনেক কাজ করে, আমরা সিদ্ধান্ত নিয়েছিলাম যে আমরা 12 জানুয়ারী প্রকাশের জন্য কোড বেসে প্যাচ পেতে পারি এবং এখনও এটি তৈরি করতে পারি, আরকিন বলেছিলেন।

Adobe-এর সিদ্ধান্ত নিতে সাহায্য করা, আরকিন যুক্তি দিয়েছিলেন, এটি একটি সমাধানে ব্যবহারকারীদের প্রতি আহ্বান জানিয়েছিল নিরাপত্তা উপদেষ্টা সোমবার দেরীতে প্রকাশিত। আমরা মনে করি আমাদের একটি কার্যকর প্রশমন আছে, জাভাস্ক্রিপ্ট ব্ল্যাকলিস্ট, যা আমরা অক্টোবরের নিরাপত্তা আপডেটের সাথে অন্তর্ভুক্ত করেছি।

জাভাস্ক্রিপ্ট ব্ল্যাকলিস্ট ফ্রেমওয়ার্ক একটি নতুন বৈশিষ্ট্য যা অ্যাডোব রিডার এবং অ্যাক্রোব্যাটে যুক্ত করেছে যা ব্যবহারকারীদের এবং এন্টারপ্রাইজ অ্যাডমিনিস্ট্রেটররা নির্দিষ্ট জাভাস্ক্রিপ্ট ফাংশন বা API (অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস) লক ডাউন করে মেশিনগুলিকে জাভাস্ক্রিপ্টের সমস্ত কার্যকারিতা নিষ্ক্রিয় না করে পরিচিত আক্রমণ থেকে রক্ষা করতে।

এই প্রথম আমরা জাভাস্ক্রিপ্ট ব্ল্যাকলিস্টকে প্রশমন হিসাবে ব্যবহার করছি, আর্কিন বলেছেন। অভ্যন্তরীণ পরীক্ষাগুলি নিশ্চিত করেছে যে দুর্বল API স্যুইচ অফ করার মাধ্যমে, ব্যবহারকারীরা রাউন্ডে থাকা বন্য শোষণ থেকে নিরাপদ থাকবে।

ম্যাকবুক প্রো 2.3 গিগাহার্টজ ইন্টেল কোর i5

Adobe অনেক গ্রাহকদের সাথেও কথা বলেছে যাতে কোম্পানির কোন পথে যেতে হয়। দুটি আপডেট থাকা, একটি এই মাসে দুর্বলতাকে কাজে লাগানোর জন্য, তারপর আরেকটি রোল-আউট, সম্ভবত ফেব্রুয়ারিতে, শুধুমাত্র একটি আপডেটের চেয়ে সংস্থাগুলির জন্য অনেক বেশি ব্যয়বহুল হবে [জানুয়ারী 12], আরকিন বলেছিলেন যে তিনি সেই কথোপকথনগুলি থেকে উপসংহারে পৌঁছেছেন৷

প্যাচ বিলম্বিত করার জন্য অ্যাডোবের সিদ্ধান্তে টাইমিংও একটি ভূমিকা পালন করেছিল। উদাহরণস্বরূপ, আসন্ন ছুটির দিনগুলি ব্যবসার জন্য উদ্বেগের বিষয় ছিল, যেগুলি নিশ্চিত ছিল না যে তারা 4 জানুয়ারীতে তাদের কর্মীরা চাকরিতে ফিরে আসার আগে একটি রাশ প্যাচ পরীক্ষা এবং স্থাপন করতে পারবে কিনা। 12 সময়সীমা।

গত মে মাসে, Adobe নিরাপত্তা প্রক্রিয়া পুনর্গঠন এর পিডিএফ দেখার এবং সম্পাদনা অ্যাপ্লিকেশনের জন্য, সমালোচকরা বেশ কয়েক মাস আগে কোম্পানির ধীরগতির প্যাচিং প্রক্রিয়ার জন্য বিস্ফোরিত হওয়ার পরে একটি পদক্ষেপ নেওয়া হয়েছিল। অ্যাডোব তার প্যাচ ওয়ার্কের গতি বাড়ানোর প্রতিশ্রুতি দিয়েছে, ত্রুটিগুলি খুঁজে পেতে পুরানো কোডের উপর যেতে হবে এবং প্রতি তিন মাসে রিডার এবং অ্যাক্রোব্যাটের জন্য নিরাপত্তা আপডেট প্রকাশ করবে।

আমরা এখানে একটি গ্যারান্টিযুক্ত নীতি স্থাপন করছি না, শোষিত দুর্বলতার প্যাচ বিলম্বিত করার সিদ্ধান্তের কথা উল্লেখ করে আরকিন বলেছিলেন, তবে ক্যালেন্ডারে যেখানে এটি ঘটেছিল তা একটি ভূমিকা পালন করেছিল। আমরা যদি ত্রৈমাসিকের প্রথম দিকে থাকি, এবং যদি এটি জরুরী হয়, তাহলে আমরা একটি চক্রের বাইরের আপডেট প্রকাশ করতে পারি, কিন্তু আপনি যত পরে পাবেন, এবং ত্রৈমাসিক প্যাচের কাছাকাছি, আপনাকে ওজন করতে হবে কিভাবে [একটি চক্রের বাইরে আপডেট] প্রভাব ফেলে।

আরকিন অস্বীকার করেছেন যে Adobe এর ত্রৈমাসিক আপডেটের সময়সূচী তৈরি করার সময় চক্রের বাইরের আপডেটগুলি পরিচালনা করার জন্য প্রয়োজনীয় সংস্থানগুলির অভাব ছিল, তবে স্বীকার করেছেন যে কোনও জরুরী পরিস্থিতি ঘটলে কোম্পানিটি ইঞ্জিনিয়ারদের একটি দলকে অপেক্ষা করতে পারে না।

সাথে তুলনা করার কথাও উড়িয়ে দিয়েছেন তিনি মাইক্রোসফট , যার নিরাপত্তা দলগুলি প্রায়শই একই সমস্যার সম্মুখীন হয়েছে—একটি প্যাচ বের করুন বা পরবর্তী চক্র পর্যন্ত অপেক্ষা করুন—এবং একই সাথে উভয়ের সাথে দেখা করতে সফল হয়েছেন। আমাদের এবং তাদের মধ্যে অনেক পার্থক্য রয়েছে, আরকিন বলেছিলেন। আপনি সত্যিই জানেন না যখন তারা জিনিসগুলি সারিবদ্ধ করে, উদাহরণস্বরূপ। তারা অনেক আগেই একটি প্যাচে কাজ শুরু করতে পারে কারণ দুর্বলতা দায়িত্বশীলভাবে প্রকাশ করা হয়েছিল।

কিভাবে আপেল রিমোট দিয়ে টিভি চালু করবেন

সামগ্রিকভাবে, আরকিন বলেছেন, ত্রৈমাসিক প্যাচের সময়সূচী একটি ইতিবাচক, প্রাথমিকভাবে কারণ এটি অ্যাডোবের সফ্টওয়্যার ব্যবহার করে উদ্যোগগুলিকে আবেদন করে। আমি যে সমস্ত গ্রাহকদের সাথে কথা বলেছি তাদের দ্বারা এটি সত্যিই ভালভাবে গৃহীত হয়েছে, তিনি বলেছিলেন। তারা সত্যিই এটির জন্য পরিকল্পনা করার ক্ষমতার প্রশংসা করে, এটি কখন আসছে তা জানতে।

যাইহোক, তিনি ত্রৈমাসিক সময়সূচী ভোক্তাদের ঝুঁকির মধ্যে ফেলে দিতে পারে কিনা সে বিষয়ে প্রশ্নগুলি সরিয়ে দিয়েছেন যদি Adobe প্রস্তুত হওয়ার সাথে সাথে সুরক্ষা আপডেট প্রকাশ করে। পরিবর্তে, তিনি Adobe-এর সংশোধিত আপডেটিং টুলের কথা বলেছেন, যা ব্যবহারকারীদের অক্টোবর রিডার/অ্যাক্রোব্যাট নিরাপত্তা রিলিজের মাধ্যমে প্রদান করা হয়েছিল, কিন্তু শুধুমাত্র বিটা পরীক্ষকদের একটি ছোট গোষ্ঠীর জন্য চালু করা হয়েছে।

হোম এবং ভোক্তা ব্যবহারকারীদের জন্য, আমাদের কাছে নতুন আপডেটার রয়েছে যা আমরা অক্টোবরে প্রেরণ করেছি, আর্কিন বলেছেন। এটি কোনো ব্যবহারকারীর মিথস্ক্রিয়া ছাড়াই পটভূমিতে ডাউনলোড এবং ইনস্টল করা সহ কয়েকটি ভিন্ন বিকল্পের অনুমতি দেয়। লোকেদের মনে করিয়ে দেওয়া যে তারা যখন পণ্যটি ব্যবহার করে তখন একটি আপডেট থাকে সাধারণত সবচেয়ে খারাপ সময়, আরকিন চালিয়ে যান। পরিবর্তে, নতুন আপডেটার প্যাচগুলি প্রক্রিয়া করবে, সেগুলি ডাউনলোড এবং ইনস্টল করবে — ব্যবহারকারীদের অংশগুলিতে কোনও প্রচেষ্টা ছাড়াই৷ আমরা আশা করছি এটি লোকেদের প্যাচের সাথে আপডেট রাখবে, তিনি বলেছিলেন।

Adobe বিটা পরীক্ষকদের কাছে 12 জানুয়ারী প্যাচগুলি সরবরাহ করতে, গ্রুপ থেকে প্রতিক্রিয়া পেতে এবং তারপর সম্ভবত সমস্ত ব্যবহারকারীর জন্য এটি চালু করতে পরের মাসে প্রথমবারের জন্য নতুন আপডেটার ব্যবহার করবে৷

আরকিন স্বীকার করেছেন যে, নিরাপত্তার উপর নতুন ফোকাস দিয়েও, অ্যাডোব আরও ভাল করতে পারে। একটি উপায় হ'ল সক্রিয় আক্রমণ সম্পর্কে দ্রুত তথ্য পাওয়া। যদিও Adobe শুধুমাত্র বর্তমান দুর্বলতা এবং শোষণ সম্পর্কে গত সোমবার শিখেছে যখন বেশ কয়েকটি নিরাপত্তা বিক্রেতা তাদের ফলাফলগুলি রিপোর্ট করেছে, ফিল্টারিং লগগুলিতে প্রমাণ দেখায় যে আক্রমণের কোডটি 20 নভেম্বরের প্রথম দিকে লক্ষ্যবস্তু ক্ষতিগ্রস্তদের ই-মেইল করা হয়েছিল।

আইপ্যাডে করতে চমৎকার জিনিস

Adobe আক্রমণের টাইমলাইনে তার নিরাপত্তা অংশীদারদের কাছ থেকে গোয়েন্দা তথ্য পাওয়ার চেষ্টা করবে, বলেছেন আরকিন। আমরা সচেতনতা চক্রে যত তাড়াতাড়ি সম্ভব তথ্য পেতে কঠোর পরিশ্রম করছি, তিনি বলেছিলেন। নভেম্বরে দুর্বলতা সম্পর্কে জানলে হয়তো আমরা অন্য সিদ্ধান্ত নিতাম।

রিডার এবং অ্যাক্রোব্যাটের জন্য 12 জানুয়ারী নিরাপত্তা আপডেটে অন্যান্য বাগগুলির জন্য প্যাচ অন্তর্ভুক্ত থাকবে যা গবেষকরা ব্যক্তিগতভাবে অ্যাডোবিকে রিপোর্ট করেছেন৷ আরকিন তখন কী প্যাচ করা হবে, বা এমনকি কতগুলি ত্রুটি সংশোধন করা হবে সে সম্পর্কে নির্দিষ্ট হতে অস্বীকৃতি জানায়। তবে আমরা অক্টোবরে পাঠানোর চেয়ে আকারে আরও বিনয়ী কিছু খুঁজছি, তিনি বলেছিলেন।

Adobe 29টি বাগ প্যাচ করেছে রিডার এবং অ্যাক্রোব্যাটে তার সর্বশেষ নিয়মিত-নির্ধারিত সুরক্ষা আপডেটে, যা 13 অক্টোবর প্রকাশিত হয়েছিল।