CVE-2026-11645 ক্রোম দুর্বলতা
ক্রোম ব্রাউজারে সক্রিয়ভাবে ব্যবহৃত আরেকটি জিরো-ডে দুর্বলতা মোকাবেলার জন্য গুগল জরুরি নিরাপত্তা আপডেট প্রকাশ করেছে। CVE-2026-11645 হিসেবে চিহ্নিত এই ত্রুটিটি হলো ২০২৬ সালের শুরু থেকে কোম্পানি কর্তৃক সমাধান করা পঞ্চম ক্রোম জিরো-ডে দুর্বলতা।
গুগলের মতে, প্রমাণ নিশ্চিত করে যে এই দুর্বলতাকে লক্ষ্য করে তৈরি একটি এক্সপ্লয়েট ইতোমধ্যেই বাস্তব আক্রমণে ব্যবহৃত হচ্ছে। বিষয়টি বেনামে কোম্পানিকে জানানো হয়েছিল এবং পরবর্তীতে স্টেবল ডেস্কটপ চ্যানেলের মাধ্যমে একটি সমাধান প্রয়োগ করা হয়।
বর্তমানে উইন্ডোজ (149.0.7827.102), ম্যাকওএস (149.0.7827.103), এবং লিনাক্স (149.0.7827.102)-এর জন্য প্যাচ করা সংস্করণগুলো বিশ্বব্যাপী প্রকাশ করা হচ্ছে। তবে, এই আপডেট প্রক্রিয়াটি সকল ক্রোম ব্যবহারকারীর কাছে পৌঁছাতে কয়েক দিন বা এমনকি কয়েক সপ্তাহও সময় নিতে পারে।
যারা ম্যানুয়ালি আপডেট ইনস্টল করেন না, তাদের জন্য ক্রোম এমনভাবে ডিজাইন করা হয়েছে যে এটি পরবর্তীবার ব্রাউজার চালু করার সময় স্বয়ংক্রিয়ভাবে উপলব্ধ নিরাপত্তা সমাধানগুলো পরীক্ষা করে এবং প্রয়োগ করে।
সুচিপত্র
CVE-2026-11645 এর ভেতরে: V8 ইঞ্জিনের একটি বিপজ্জনক ত্রুটি
এই গুরুতর দুর্বলতাটি ক্রোমের V8 জাভাস্ক্রিপ্ট ইঞ্জিনের সীমার বাইরের রিড এবং রাইট সংক্রান্ত একটি ত্রুটি থেকে উদ্ভূত হয়েছে। আক্রমণকারীরা বিশেষভাবে তৈরি করা HTML পেজের মাধ্যমে এই দুর্বলতার সুযোগ নিতে পারে, যার ফলে ব্রাউজারের স্যান্ডবক্স পরিবেশে যথেচ্ছভাবে কোড কার্যকর করা সম্ভব হতে পারে।
সফল অপব্যবহারের ফলে হিপ করাপশন হতে পারে, যা আক্রমণকারীদেরকে উদ্দিষ্ট সীমার বাইরের মেমোরি অ্যাক্সেস করার সুযোগ করে দেয়। এই আচরণের ফলে সংবেদনশীল তথ্য ফাঁস হতে পারে, ব্রাউজার ক্র্যাশ হতে পারে, অথবা অতিরিক্ত ক্ষতিকর কার্যকলাপ সহজতর হতে পারে।
অননুমোদিত মেমোরি অ্যাক্সেস ছাড়াও, এই দুর্বলতাটি অ্যাড্রেস স্পেস লেআউট র্যান্ডমাইজেশন (ASLR)-এর মতো নিরাপত্তা সুরক্ষা ব্যবস্থাগুলোকে বাইপাস করতেও কাজে লাগানো যেতে পারে, যা অন্যান্য দুর্বলতার সাথে মিলিত হয়ে কোড এক্সিকিউশনের সম্ভাবনা বাড়িয়ে তোলে।
ব্যবহারকারীদের সুরক্ষার জন্য সীমিত প্রকাশ
যদিও গুগল এই দুর্বলতার সক্রিয় অপব্যবহারের কথা স্বীকার করেছে, সংস্থাটি এখনও আক্রমণগুলো সম্পর্কিত প্রযুক্তিগত বিবরণ প্রকাশ করেনি। যতক্ষণ না ক্রোম ব্যবহারকারীদের একটি উল্লেখযোগ্য অংশ নিরাপত্তা আপডেটটি ইনস্টল করছে, ততক্ষণ পর্যন্ত বাগ সম্পর্কিত তথ্য এবং সংশ্লিষ্ট রিসোর্সগুলিতে প্রবেশাধিকার সীমাবদ্ধ থাকতে পারে।
যদি প্রভাবিত কোডটি এমন থার্ড-পার্টি লাইব্রেরির মধ্যে থাকে যা অন্যান্য প্রজেক্ট ব্যবহার করে এবং এখনও তাদের নিজস্ব সমাধান প্রয়োগ করেনি, তাহলেও বিধিনিষেধ অব্যাহত থাকতে পারে।
২০২৬ সালে জিরো-ডে হুমকির ক্রমবর্ধমান তালিকা
CVE-2026-11645 এই বছর সক্রিয়ভাবে ব্যবহৃত হওয়া আরও বেশ কয়েকটি ক্রোম জিরো-ডে-র সাথে যুক্ত হয়েছে:
- CVE-2026-2441 – CSSFontFeatureValuesMap-এ একটি ইটারেটর ইনভ্যালিডেশন দুর্বলতা, যা ফেব্রুয়ারিতে প্যাচ করা হয়েছে।
জিরো-ডে এক্সপ্লয়েটের বিরুদ্ধে ক্রোমের চলমান লড়াই
সর্বশেষ জরুরি আপডেটটি আধুনিক ওয়েব ব্রাউজারগুলোকে লক্ষ্য করে তৈরি হওয়া জিরো-ডে দুর্বলতাগুলোর দ্বারা সৃষ্ট ক্রমাগত হুমকির ওপর আলোকপাত করেছে। ২০২৫ সাল জুড়ে, গুগল ক্রোমের আরও আটটি জিরো-ডে দুর্বলতার সমাধান করেছে, যেগুলো বাস্তবে ব্যবহৃত হচ্ছিল। এই দুর্বলতাগুলোর মধ্যে বেশ কয়েকটি শনাক্ত করেছে গুগলের থ্রেট অ্যানালাইসিস গ্রুপ (TAG), যা অত্যাধুনিক সাইবার-গুপ্তচরবৃত্তি কার্যক্রম এবং স্পাইওয়্যার ক্যাম্পেইন ট্র্যাক করার জন্য পরিচিত একটি বিশেষায়িত দল।
সক্রিয়ভাবে ব্যবহৃত ত্রুটিগুলোর ক্রমাগত আবিষ্কার, ক্রমবর্ধমান সাইবার হুমকি থেকে ব্যবহারকারীদের সুরক্ষার জন্য সময়মতো ব্রাউজার আপডেট এবং দ্রুত দুর্বলতা প্রতিকারের গুরুত্বকে তুলে ধরে।
