মাইক্রোসফট এর বিভিন্ন নিরাপত্তা ত্রুটি মোকাবেলায় আজ প্যাচ প্রকাশ করেছে জানালা অপারেটিং সিস্টেম এবং সমর্থিত সফ্টওয়্যার। আটটি দুর্বলতা মাইক্রোসফ্টের সবচেয়ে গুরুতর “সমালোচনামূলক” রেটিং অর্জন করেছে এবং কোম্পানি সতর্ক করেছে যে আক্রমণকারীরা ইতিমধ্যেই আজ সংশোধন করা বাগগুলির একটিকে কাজে লাগাচ্ছে৷
জানুয়ারির মাইক্রোসফটের শূন্য-দিনের ত্রুটি – CVE-2026-20805 – একটি ত্রুটির কারণে উন্মোচিত হয়েছে ডেস্কটপ উইন্ডো ম্যানেজার (DWM), উইন্ডোজের একটি মূল উপাদান যা ব্যবহারকারীর স্ক্রিনে উইন্ডোগুলিকে সংগঠিত করে। kev breenসাইবার থ্রেট রিসার্চের সিনিয়র ডিরেক্টর ড নিমজ্জিততাতে বলা হয়েছে, CVE-2026-20805-কে 5.5 এর একটি মাঝারি CVSS স্কোর দেওয়া সত্ত্বেও, মাইক্রোসফ্ট বন্য অঞ্চলে তার সক্রিয় শোষণ নিশ্চিত করেছে, যা নির্দেশ করে যে হুমকি অভিনেতারা ইতিমধ্যেই সংস্থাগুলির বিরুদ্ধে এই ত্রুটিটি ব্যবহার করছে৷
ব্রীন বলেন, এই ধরনের দুর্বলতাগুলি সাধারণত অ্যাড্রেস স্পেস লেআউট র্যান্ডমাইজেশন (এএসএলআর) দুর্বল করার জন্য ব্যবহৃত হয়, একটি মূল অপারেটিং সিস্টেম নিরাপত্তা নিয়ন্ত্রণ যা বাফার ওভারফ্লো এবং অন্যান্য মেমরি-ম্যানিপুলেশন শোষণের বিরুদ্ধে সুরক্ষার জন্য ডিজাইন করা হয়েছে।
“কোড মেমরিতে কোথায় থাকে তা প্রকাশ করে, এই দুর্বলতাটিকে একটি পৃথক কোড কার্যকর করার ত্রুটির সাথে একত্রিত করা যেতে পারে, একটি জটিল এবং অবিশ্বস্ত শোষণকে একটি ব্যবহারিক এবং পুনরাবৃত্তিযোগ্য আক্রমণে পরিণত করে,” ব্রেন বলেছিলেন। “মাইক্রোসফ্ট প্রকাশ করেনি যে এই ধরনের একটি শোষণ শৃঙ্খলে কোন অতিরিক্ত উপাদান অন্তর্ভুক্ত থাকতে পারে, যা সংশ্লিষ্ট কার্যকলাপের জন্য সক্রিয়ভাবে হুমকি খুঁজে বের করার ডিফেন্ডারদের ক্ষমতাকে উল্লেখযোগ্যভাবে সীমিত করে। ফলস্বরূপ, দ্রুত প্যাচিং বর্তমানে একমাত্র কার্যকর প্রশমন রয়ে গেছে।”
ক্রিস গোয়েটেলপ্রোডাক্ট ম্যানেজমেন্টের ভাইস প্রেসিডেন্ট ইভান্তিপর্যবেক্ষণ করা CVE-2026-20805 Windows OS-এর বর্তমান সমর্থিত এবং বর্ধিত নিরাপত্তা আপডেট সমর্থিত সংস্করণগুলিকে প্রভাবিত করে। গোয়েটেল বলেছিলেন যে এটির “সমালোচনামূলক” রেটিং এবং তুলনামূলকভাবে কম সিভিএসএস স্কোরের উপর ভিত্তি করে এই ত্রুটিটির গুরুতরতা খারিজ করা একটি ভুল হবে।
“ঝুঁকি-ভিত্তিক অগ্রাধিকার পদ্ধতি এই দুর্বলতাকে ভেন্ডর রেটিং বা CVSS স্কোরের চেয়ে উচ্চতর তীব্রতা হিসাবে বিবেচনা করে,” তিনি বলেছিলেন।
এ মাসে যে দুটি গুরুতর ত্রুটির সমাধান করা হয়েছে মাইক্রোসফট অফিস রিমোট কোড এক্সিকিউশন বাগগুলি (CVE-2026-20952 এবং CVE-2026-20953) যেগুলি প্রিভিউ ফলকে একটি বুবি-ট্র্যাপড বার্তা দেখে ট্রিগার হতে পারে৷
আমাদের অক্টোবর 2025 প্যাচ মঙ্গলবার “এন্ড অফ 10” রাউন্ডআপ উল্লেখ করেছে যে মাইক্রোসফ্ট সমস্ত সংস্করণ থেকে একটি মডেম ড্রাইভারকে সরিয়ে দিয়েছে যখন এটি আবিষ্কৃত হয়েছিল যে হ্যাকাররা সিস্টেমে হ্যাক করার জন্য এটির একটি দুর্বলতার অপব্যবহার করছে। অ্যাডাম বার্নেট কিন্তু দ্রুত7 মাইক্রোসফ্ট আজ উইন্ডোজ থেকে আরও কয়েকটি মডেম ড্রাইভার সরিয়ে দিয়েছে মূলত একই কারণে: মাইক্রোসফ্ট CVE-2023-31096 হিসাবে ট্র্যাক করা অনুরূপ মডেম ড্রাইভারে বিশেষাধিকার দুর্বলতার উচ্চতার জন্য কার্যকরী শোষণ কোড সম্পর্কে সচেতন।
“এটি একটি টাইপো নয়; এই দুর্বলতাটি মূলত MITER এর মাধ্যমে মূল গবেষকের একটি বিশ্বস্ত পাবলিক নিবন্ধের সাথে দুই বছর আগে প্রকাশিত হয়েছিল,” বার্নেট বলেছিলেন। “আজকের উইন্ডোজ প্যাচগুলি agrsm64.sys এবং agrsm.sys সরিয়ে দেয়৷ তিনটি মডেম ড্রাইভারই মূলত একই অপ্রচলিত তৃতীয় পক্ষ দ্বারা তৈরি করা হয়েছিল, এবং কয়েক দশক ধরে উইন্ডোজে অন্তর্ভুক্ত করা হয়েছে৷ এই ড্রাইভার অপসারণগুলি বেশিরভাগ লোকের নজরে পড়বে না, তবে আপনি এখনও কিছু শিল্প নিয়ন্ত্রণ ব্যবস্থা সহ কিছু প্রসঙ্গে সক্রিয় মডেম খুঁজে পেতে পারেন৷”
বার্নেটের মতে, দুটি প্রশ্ন রয়ে গেছে: সম্পূর্ণ প্যাচ করা উইন্ডোজ অ্যাসেটে আরও কতগুলি পুরানো মডেম ড্রাইভার এখনও বিদ্যমান রয়েছে; এবং মাইক্রোসফ্ট আক্রমণকারীদের বিরুদ্ধে ক্র্যাক ডাউন করার আগে আরও কতগুলি উচ্চতা-থেকে-সিস্টেম দুর্বলতাগুলি আবির্ভূত হবে যারা “ভূমি থেকে বেঁচে থাকা” উপভোগ করে[line] ধুলো পুরানো ডিভাইস ড্রাইভার একটি সম্পূর্ণ বিভাগ শোষণ দ্বারা?
“যদিও মাইক্রোসফ্ট CVE-2023-31096-এর শোষণের প্রমাণ দাবি করে না, তবে প্রাসঙ্গিক 2023 লিখন এবং 2025 সালে অন্য Agere মডেম ড্রাইভারকে অপসারণ করা এই সময়ের মধ্যে উইন্ডোজ শোষণের জন্য যারা খুঁজছেন তাদের জন্য দুটি শক্তিশালী ইঙ্গিত প্রদান করে,” বার্নেট বলেন। “যদি আপনি ভাবছেন, মডেম সংযুক্ত করার কোন প্রয়োজন নেই; শুধুমাত্র ড্রাইভারের উপস্থিতি একটি সম্পদকে দুর্বল করার জন্য যথেষ্ট।”
Immersive, Ivanti এবং Rapid7 সকলেই CVE-2026-21265 সম্বোধন করেছে, একটি গুরুত্বপূর্ণ নিরাপত্তা বৈশিষ্ট্য বাইপাস দুর্বলতা যা উইন্ডোজ সিকিউর বুটকে প্রভাবিত করে। এই নিরাপত্তা বৈশিষ্ট্যটি রুটকিট এবং বুটকিটের মতো হুমকির বিরুদ্ধে সুরক্ষার জন্য ডিজাইন করা হয়েছে এবং এটি শংসাপত্রের একটি সেটের উপর নির্ভর করে যা জুন 2026 এবং অক্টোবর 2026-এ মেয়াদ শেষ হতে চলেছে৷ একবার এই 2011 শংসাপত্রগুলির মেয়াদ শেষ হয়ে গেলে, নতুন 2023 শংসাপত্রগুলি নেই এমন Windows ডিভাইসগুলি আর নিরাপদ বুট সুরক্ষা পেতে পারবে না৷
বার্নেট সতর্ক করে দিয়েছিলেন যে বুটলোডার এবং BIOS আপডেট করার সময়, আপনি যে নির্দিষ্ট OS এবং BIOS সংমিশ্রণের সাথে কাজ করছেন তার জন্য সময়ের আগে পুঙ্খানুপুঙ্খভাবে প্রস্তুত করা অপরিহার্য, কারণ ভুল মেরামতের পদক্ষেপগুলি একটি আনবুটযোগ্য সিস্টেমের দিকে নিয়ে যেতে পারে।
“তথ্য নিরাপত্তার ক্ষেত্রে পনের বছর সত্যিই একটি দীর্ঘ সময়, কিন্তু মাইক্রোসফ্ট রুট সার্টিফিকেটের সময় ফুরিয়ে আসছে, যা স্টাক্সনেটের দিন থেকে সুরক্ষিত বুট ইকোসিস্টেমের সবকিছুতে স্বাক্ষর করছে,” বার্নেট বলেছেন। “মাইক্রোসফ্ট 2023 সালে CVE-2023-24932 এর সাথে প্রতিস্থাপন সার্টিফিকেশন জারি করেছে, যার মধ্যে প্রাসঙ্গিক উইন্ডোজ প্যাচের পাশাপাশি ব্ল্যাকলোটাস বুটকিট দ্বারা ব্যবহৃত সিকিউর বুট বাইপাস ঠিক করার পরবর্তী পদক্ষেপগুলি অন্তর্ভুক্ত ছিল।”
গোটেল তা উল্লেখ করেছেন মজিলা জন্য আপডেট প্রকাশিত হয়েছে ফায়ারফক্স এবং ফায়ারফক্স esr মোট 34টি দুর্বলতা সম্বোধন করে, যার মধ্যে দুটিকে কাজে লাগানো হয়েছে বলে সন্দেহ করা হচ্ছে (CVE-2026-0891 এবং CVE-2026-0892)। উভয়ই ফায়ারফক্স 147 (MFSA2026-01) এ সমাধান করা হয়েছে এবং CVE-2026-0891 Firefox ESR 140.7 (MFSA2026-03) এ সমাধান করা হয়েছে।
“প্রত্যাশিত গুগল ক্রোম এবং মাইক্রোসফট এজ ক্রোম ওয়েবভিউ এই সপ্তাহে আপডেট করা হয়েছে একটি উচ্চ-তীব্র দুর্বলতা যোগ করে যা 6 জানুয়ারী ক্রোম আপডেটে (CVE-2026-0628) সমাধান করা হয়েছে, Goettel বলেছেন।
বরাবরের মতো, SANS ইন্টারনেট স্টর্ম সেন্টারের তীব্রতা এবং জরুরীতার দ্বারা প্রতি-প্যাচ ব্রেকডাউন রয়েছে। উইন্ডোজ অ্যাডমিনিস্ট্রেটরদের উচিত সমস্ত কিছুর সাথে সঠিকভাবে কাজ না করে এমন প্যাচগুলির বিষয়ে যে কোনও খবরের জন্য Askwoody.com-এ নজর রাখা উচিত৷ আপনি জানুয়ারী প্যাচ ইনস্টল করার সাথে সম্পর্কিত কোন সমস্যার সম্মুখীন হলে, নীচের মন্তব্যে একটি লাইন ড্রপ করুন।
