প্রধান অন্যান্য রিলিজের 7 প্যাচ ঘন্টা পরে গবেষকরা জাভাতে গুরুতর দুর্বলতা খুঁজে পান
অন্যান্য

রিলিজের 7 প্যাচ ঘন্টা পরে গবেষকরা জাভাতে গুরুতর দুর্বলতা খুঁজে পান

খবরট্যাবলেট এস 31 অগাস্ট, 2012 6:00 am PDT

পোল্যান্ড-ভিত্তিক নিরাপত্তা সংস্থা সিকিউরিটি এক্সপ্লোরেশনের নিরাপত্তা গবেষকরা বৃহস্পতিবার প্রকাশিত জাভা 7 নিরাপত্তা আপডেটে একটি দুর্বলতা আবিষ্কার করেছেন বলে দাবি করেছেন যা জাভা স্যান্ডবক্স থেকে রক্ষা পেতে এবং অন্তর্নিহিত সিস্টেমে স্বেচ্ছাচারী কোড চালানোর জন্য ব্যবহার করা যেতে পারে।

সিকিউরিটি এক্সপ্লোরেশনস শুক্রবার ওরাকলের দুর্বলতা সম্পর্কে একটি প্রতিবেদন পাঠিয়েছে এবং একটি প্রমাণ-অফ-কনসেপ্ট এক্সপ্লোইট, অ্যাডাম গৌডিয়াক, সিকিউরিটি কোম্পানির প্রতিষ্ঠাতা এবং সিইও শুক্রবার ইমেলের মাধ্যমে বলেছেন।

ওরাকল এটির সমাধান না করা পর্যন্ত সংস্থাটি দুর্বলতার বিষয়ে কোনও প্রযুক্তিগত বিশদ প্রকাশ করার পরিকল্পনা করছে না, গৌডিয়াক বলেছেন।



জাভা নিরাপত্তা হুমকি সম্পর্কে Mac ব্যবহারকারীদের কি জানতে হবে তা খুঁজে বের করুন

ম্যাকের জন্য সেরা ভাইরাস সুরক্ষা কি?

ওরাকল বৃহস্পতিবার তার নিয়মিত চার মাসের প্যাচিং চক্র থেকে বেরিয়ে এসেছে জাভা 7 আপডেট 7 প্রকাশ করুন , একটি জরুরী নিরাপত্তা আপডেট যা তিনটি দুর্বলতাকে সম্বোধন করেছে, যার মধ্যে দুটি আক্রমণকারীদের দ্বারা শোষণ করা হয়েছিল গত সপ্তাহ থেকে কম্পিউটারে ম্যালওয়্যার দ্বারা সংক্রমিত করা।

জাভা 7 আপডেট 7 একটি সুরক্ষা-গভীর সমস্যাও প্যাচ করেছে যা ওরাকলের মতে, সরাসরি শোষণযোগ্য ছিল না, তবে অন্যান্য দুর্বলতার প্রভাব বাড়াতে ব্যবহার করা যেতে পারে।

সেই সুরক্ষা-গভীর সমস্যাটির প্যাচিং, যাকে গৌডিয়াক একটি শোষণ ভেক্টর বলে, পোলিশ নিরাপত্তা সংস্থা দ্বারা পূর্বে ওরাকলের কাছে জমা দেওয়া সমস্ত প্রমাণ-অফ-কনসেপ্ট (PoC) জাভা ভার্চুয়াল মেশিন (JVM) সুরক্ষা বাইপাস শোষণগুলিকে রেন্ডার করেছে, অকার্যকর .

Gowdiak অনুযায়ী, নিরাপত্তা অন্বেষণ এপ্রিল মাসে ওরাকলকে জাভা 7-এ 29টি দুর্বলতা ব্যক্তিগতভাবে রিপোর্ট করেছে , এখন আক্রমণকারীদের দ্বারা সক্রিয়ভাবে শোষিত যে দুটি সহ।

আমার দুটি আপেল আইডি আছে কিভাবে আমি একটি মুছে ফেলব

প্রতিবেদনগুলির সাথে মোট 16টি প্রুফ-অফ-কনসেপ্ট এক্সপ্লয়েট ছিল যা জাভা স্যান্ডবক্সকে সম্পূর্ণরূপে বাইপাস করতে এবং অন্তর্নিহিত সিস্টেমে নির্বিচারে কোড চালানোর জন্য সেই দুর্বলতাগুলিকে একত্রিত করেছিল।

জাভা 7 আপডেট 7-এ sun.awt.SunToolkit ক্লাসের বাস্তবায়ন থেকে getField এবং getMethod পদ্ধতিগুলি অপসারণ করা সমস্ত নিরাপত্তা অন্বেষণের PoC শোষণকে নিষ্ক্রিয় করেছে, গৌডিয়াক বলেছেন।

যাইহোক, এটি শুধুমাত্র এই কারণে ঘটেছে যে শোষণ ভেক্টরটি সরানো হয়েছিল, শোষণ দ্বারা লক্ষ্য করা সমস্ত দুর্বলতাগুলি প্যাচ করা হয়েছিল বলে নয়, গৌদিয়াক বলেছিলেন।

Java 7 Update 7-এ সিকিউরিটি এক্সপ্লোরেশনস দ্বারা আবিষ্কৃত নতুন দুর্বলতাকে আবার একটি সম্পূর্ণ JVM স্যান্ডবক্স বাইপাস অর্জনের জন্য ওরাকল দ্বারা প্যাচ না করা কিছু দুর্বলতার সাথে একত্রিত করা যেতে পারে।

আমি কি ক্র্যাক আইফোনে ট্রেড করতে পারি?

একবার আমরা দেখতে পেলাম যে আপডেটটি প্রয়োগ করার পরে আমাদের সম্পূর্ণ জাভা স্যান্ডবক্স বাইপাস কোডগুলি কাজ করা বন্ধ করে দিয়েছে, আমরা আবার POC কোডগুলির দিকে তাকালাম এবং কীভাবে সর্বশেষ জাভা আপডেটটিকে আবার সম্পূর্ণরূপে ভাঙতে হবে তার সম্ভাব্য উপায়গুলি সম্পর্কে ভাবতে শুরু করেছি, গৌডিয়াক বলেছেন। একটি নতুন ধারণা এসেছিল, এটি যাচাই করা হয়েছিল এবং দেখা গেল যে এটি ছিল।

ওরাকল কখন এপ্রিল মাসে সিকিউরিটি এক্সপ্লোরেশন দ্বারা রিপোর্ট করা অবশিষ্ট দুর্বলতাগুলি বা শুক্রবার নিরাপত্তা সংস্থার দ্বারা জমা দেওয়া নতুনটি মোকাবেলা করার পরিকল্পনা করেছে তা গৌডিয়াক জানেন না।

এটা পরিষ্কার নয় যে Oracle পূর্বের পরিকল্পনা অনুযায়ী অক্টোবরে একটি নতুন জাভা নিরাপত্তা আপডেট প্রকাশ করবে কিনা। ওরাকল মন্তব্য করতে অস্বীকার করেছে।

নিরাপত্তা গবেষকরা সর্বদা সতর্ক করেছেন যে বিক্রেতারা যদি রিপোর্ট করা দুর্বলতা মোকাবেলায় খুব বেশি সময় নেয় তবে এটি ইতিমধ্যে খারাপ লোকদের দ্বারা আবিষ্কৃত হতে পারে, যদি তারা ইতিমধ্যে এটি সম্পর্কে না জানে।

বিভিন্ন বাগ হান্টারদের জন্য একই পণ্যে একই দুর্বলতা স্বাধীনভাবে আবিষ্কার করা একাধিক অনুষ্ঠানে ঘটেছে এবং জাভা 7 আপডেট 7 দ্বারা সমাধান করা দুটি সক্রিয়ভাবে শোষিত জাভা দুর্বলতার ক্ষেত্রেও এটি ঘটতে পারে।

গৌদিয়াক বলেন, স্বাধীন আবিষ্কার কখনোই বাদ দেওয়া যায় না। এই নির্দিষ্ট সমস্যা [নতুন দুর্বলতা] খুঁজে পাওয়া একটু বেশি কঠিন হতে পারে।

ফায়ারওয়াল ম্যাকে অন বা অফ হওয়া উচিত

নিরাপত্তা অন্বেষণ গবেষকদের অভিজ্ঞতার ভিত্তিতে এখন পর্যন্ত জাভা দুর্বলতা খুঁজে বের করার জন্য, জাভা 6-এর নিরাপত্তা জাভা 7-এর থেকে ভালো। জাভা 7 আমাদের জন্য আশ্চর্যজনকভাবে অনেক সহজ ছিল, গৌডিয়াক বলেন। Java 6-এর জন্য, আমরা জাভা সফ্টওয়্যারের জন্য Apple Quicktime-এ আবিষ্কৃত সমস্যা ব্যতীত একটি সম্পূর্ণ স্যান্ডবক্স সমঝোতা অর্জন করতে পারিনি।

অনেক নিরাপত্তা গবেষকরা আগে যা বলেছেন তা প্রতিধ্বনিত করেছে গৌডিয়াক: আপনার যদি জাভা প্রয়োজন না হয় তবে আপনার সিস্টেম থেকে এটি আনইনস্টল করুন।