মাইক্রোসফ্ট উইন্ডোজ, অফিস এবং অ্যাজুরে কয়েক ডজন নিরাপত্তা ত্রুটি সংশোধন করে

মাইক্রোসফ্ট উইন্ডোজ আপডেট

বিপুল সংখ্যক স্থির নিরাপত্তা দুর্বলতা—31 এবার—বিভিন্ন উইন্ডোজ সংস্করণে ছড়িয়ে আছে (10, 11, সার্ভার), যার জন্য মাইক্রোসফট এখনও নিরাপত্তা আপডেটগুলি প্রদান করে। Windows 10 এখনও একটি প্রভাবিত সিস্টেম হিসাবে তালিকাভুক্ত, যদিও সমর্থন আনুষ্ঠানিকভাবে অক্টোবরে শেষ হয়েছে।

দুটি উইন্ডোজ জিরো-ডে দুর্বলতা ইতিমধ্যেই সর্বজনীনভাবে পরিচিত ছিল এবং বন্যভাবে শোষণ করা হচ্ছে। উভয়ই SFB (সিকিউরিটি ফিচার বাইপাস) দুর্বলতা। CVE-2026-21510 উইন্ডোজ শেলের দুর্বলতা একজন আক্রমণকারীকে স্মার্টস্ক্রিন বাইপাস করতে এবং নির্বিচারে কোড চালানোর জন্য শেল নিরাপত্তা পরীক্ষা করতে দেয়। ব্যবহারকারীকে শুধুমাত্র দূষিত কোড চালানোর জন্য একটি শর্টকাট খুলতে হবে।

যে কেউ মনে করে যে তারা অবশেষে পুরানো ব্রাউজার জম্বি ইন্টারনেট এক্সপ্লোরার (IE) থেকে পরিত্রাণ পেয়েছে সে ভুল। এটি এখনও উইন্ডোজের সমস্ত সংস্করণে উপস্থিত রয়েছে, কারণ অনেকগুলি প্রোগ্রাম এখনও কিছু IE ফাংশনের উপর নির্ভর করে। এই উত্তরাধিকার সমস্যা সময়ের সাথে হ্রাস পাচ্ছে, কিন্তু এখনও বিদ্যমান। নিরাপত্তা চেক বাইপাস করতে এবং অননুমোদিত অ্যাক্সেস পেতে আক্রমণকারীরা SFB দুর্বলতা CVE-2026-21513 ব্যবহার করতে পারে।

ডেস্কটপ উইন্ডো ম্যানেজারে (DWM) CVE-2026-21519 দুর্বলতা হল এই বছরে দ্বিতীয় DWM দুর্বলতা। আক্রমণকারীরা উন্নত সুযোগ-সুবিধা পেতে পারে এবং সিস্টেমের অনুমতি নিয়ে কোড চালাতে পারে। এটি করার জন্য, তারা DMW দুর্বলতাগুলিকে RCE দুর্বলতার সাথে একত্রিত করে, যার মধ্যে অনেকগুলি রয়েছে।

CVE-2026-21533 হল আরেকটি EoP (এলিভেশন অফ প্রিভিলেজ) দুর্বলতা। এটি রিমোট ডেস্কটপ পরিষেবাগুলিতে পাওয়া যায়। প্রভাবিত উইন্ডোজ কম্পোনেন্ট যা পরামর্শ দিতে পারে তার বিপরীতে, এই বাগটি স্থানীয়ভাবে উন্নত সুবিধা পেতে ব্যবহার করা হয়। DWM দুর্বলতার মতো, সফল হলে, একজন আক্রমণকারী সিস্টেমের সুবিধা সহ কোড চালাতে পারে। একটি দুর্বল রিমোট ডেস্কটপ পরিষেবা চালিত কম্পিউটারগুলি নেটওয়ার্কে প্রবেশ করার পরে পার্শ্বীয় আন্দোলনের জন্য একটি আকর্ষণীয় মধ্যবর্তী লক্ষ্য হতে পারে।

এই সিরিজের চূড়ান্ত শূন্য-দিনের দুর্বলতা হল CVE-2026-21525, যা রিমোট অ্যাক্সেস কানেকশন ম্যানেজারে একটি DoS দুর্বলতা। একজন আক্রমণকারী পরিষেবাটি ক্র্যাশ করতে পারে। যেহেতু এটি স্বয়ংক্রিয়ভাবে পুনরায় চালু হবে কিনা তা স্পষ্ট নয়, একজন আক্রমণকারী সম্ভাব্যভাবে একজন প্রশাসকের ছদ্মবেশ ধারণ করতে পারে যিনি দূর থেকে হস্তক্ষেপ করতে চান। অন্যথায়, আরও জটিল আক্রমণের পরিস্থিতিতে DoS দুর্বলতা খুব কমই ব্যবহৃত হয়।

মাইক্রোসফট অফিস আপডেট

মাইক্রোসফ্ট তার অফিস পরিবারে ছয়টি দুর্বলতা সংশোধন করেছে, যার সবকটি উচ্চ ঝুঁকি হিসাবে শ্রেণীবদ্ধ করা হয়েছে। প্রথম নজরে, এর মধ্যে কোনো RCE (রিমোট কোড এক্সিকিউশন) দুর্বলতা নেই।

যাইহোক, Word vulnerability CVE-2026-21514, যা শূন্য-দিন এবং SFB (নিরাপত্তা বৈশিষ্ট্য বাইপাস) দুর্বলতা হিসাবে শ্রেণীবদ্ধ করা হয়, এছাড়াও কোড ইনজেকশন এবং কার্যকর করতে ব্যবহার করা যেতে পারে। অন্তত প্রিভিউ উইন্ডো এখানে আক্রমণ ভেক্টর নয় – এই দুর্বলতার মাধ্যমে একটি সফল আক্রমণ সক্ষম করতে ব্যবহারকারীকে Word ব্যবহার করে একটি প্রস্তুত অফিস ফাইল খুলতে হবে।

Microsoft Azure আপডেট

ফেব্রুয়ারী প্যাচ মঙ্গলবার স্থানীয় নেটওয়ার্কে ডেস্কটপ কম্পিউটার বা সার্ভারের ক্ষেত্রে গুরুত্বপূর্ণ হিসাবে শ্রেণীবদ্ধ কোনো নিরাপত্তা দুর্বলতা অন্তর্ভুক্ত করে না, তবে পাঁচটি নিরাপত্তা দুর্বলতা রয়েছে যা মাইক্রোসফটের Azure ক্লাউড প্ল্যাটফর্মকে প্রভাবিত করে।

মাইক্রোসফ্ট ইতিমধ্যে তাদের তিনটি ঠিক করেছে এবং সেগুলি নথিভুক্ত করার প্রক্রিয়াধীন রয়েছে। দুটি দুর্বলতা গোপনীয় ACI পাত্রে (Azure কন্টেইনার ইনস্ট্যান্স) প্রভাবিত করে এবং সেগুলিকে সুরক্ষিত করার জন্য পদক্ষেপের প্রয়োজন।

মাইক্রোসফ্ট এজ আপডেট

এজ 144.0.3719.115 এর জন্য সর্বশেষ নিরাপত্তা আপডেটটি 5 ফেব্রুয়ারি থেকে এবং এটি Chromium 144.0.7559.133 এর উপর ভিত্তি করে। এটি দুটি Chromium দুর্বলতা ঠিক করে। যাইহোক, গুগল ক্রোম এবং ক্রোমিয়াম 145 প্রকাশ করেছে। সম্পর্কিত এজ আপডেট এই সপ্তাহের শেষের দিকে প্রকাশিত হবে বলে আশা করা হচ্ছে।

মাইক্রোসফট অ্যান্ড্রয়েডের জন্য এজ 143-এ একটি স্পুফিং দুর্বলতা (CVE-2026-0391) বন্ধ করেছে। এটি ইতিমধ্যেই ডিসেম্বরে করা হয়েছিল, কিন্তু এখন সর্বজনীনভাবে নথিভুক্ত করা হচ্ছে৷