গবেষকরা জাভাতে গুরুতর দুর্বলতা খুঁজে পান 7 প্যাচ ঘন্টা রিলিজের পর

পোল্যান্ড ভিত্তিক নিরাপত্তা সংস্থার নিরাপত্তা অনুসন্ধানকারীরা জাভা 7 নিরাপত্তা আপডেটে একটি দুর্বলতা আবিষ্কার করেছে বলে দাবি করেছে যেটি জাভা স্যান্ডবক্স থেকে পালিয়ে এবং নির্বিচারে কোড চালানোর জন্য শোষিত হতে পারে।

নিরাপত্তা অনুসন্ধানগুলি শুক্রবার ওকেলে দুর্নীতির একটি প্রতিবেদন পাঠিয়েছে একটি প্রমাণ-সংক্ষেপে শোষণের সাথে, নিরাপত্তা সংস্থাটির প্রতিষ্ঠাতা এবং প্রধান নির্বাহী কর্মকর্তা অ্যাডাম গাউদিককে ইমেল মাধ্যমে শুক্রবারের মাধ্যমে।

কোম্পানী ওরাকল এটাকে যতক্ষণ পর্যন্ত না ওকেলে এটাকে প্রকাশ না করে, ততক্ষণ পর্যন্ত কোনও ঝুঁকিপূর্ণ বিষয়ে প্রযুক্তিগত বিবরণ প্রকাশ করার পরিকল্পনা নেই, গৌধাক বলেন।

[আরও পাঠ্য: ম্যালওয়ারটি কিভাবে মুছে ফেলবেন আপনার উইন্ডোজ পিসি]

ওরাকল বৃহস্পতিবার জাভা 7 আপডেট 7 প্রকাশের জন্য তার নিয়মিত চার মাসের প্যাচিং সাইকেল থেকে বেরিয়ে এসেছে, একটি জরুরী নিরাপত্তা আপডেট যা তিনটি দুর্বলতা সম্বোধন করেছে, যার মধ্যে দুটিই রয়েছে যেগুলি আক্রমণকারীদের দ্বারা ম্যালওয়ারের সাথে কম্পিউটার সংক্রামিত হওয়ার জন্য শোষিত হচ্ছে গত সপ্তাহে।

জাভা 7 আপডেট 7 এছাড়াও "নিরাপত্তা-গভীরতার সমস্যা" প্যাচ করেছে যা, ওরাকল অনুযায়ী, সরাসরি ব্যবহারযোগ্য ছিল না, তবে অন্যান্য দুর্বলতাগুলির প্রভাবকে বাড়িয়ে তুলতে ব্যবহার করা হতো।

প্যাচিং যে "সিকিউরিটি-ইন-গভপেন্ট ইস্যু", যা গৌধাককে "শোষণ ভেক্টর" বলে ডাকে, সেটি হল পিওসি জাভা ভার্চুয়াল মেশিন (জেভিএম) নিরাপত্তা বাইপাসের সমস্ত প্রমাণ যা পোলিশ নিরাপত্তা ফার্ম কর্তৃক Oracle , অকার্যকর।

গাউদিকের মতে, নিরাপত্তা এক্সপ্লোশেশনগুলি অক্টোবরে জ্যাক 7-তে অরকেলের ২9 টি দুর্বলতা প্রকাশ করে, যার মধ্যে দুটিই এখন আক্রমণকারীদের দ্বারা সক্রিয়ভাবে শোষণ করে।

প্রতিবেদনগুলি মোট 16 টি প্রমাণ- অফ conce পি.টি. শোষণ করে যে এই দুর্বলতাগুলি জাভা স্যান্ডবক্সকে সম্পূর্ণরূপে বাইপ করে এবং অন্তর্নিহিত পদ্ধতিতে নির্বিচারে কোড চালায়।

জাভা 7 আপডেট 7 এ সূর্য। নাটক। সূর্যমুখী ক্লাসের বাস্তবায়ন থেকে getField এবং getMethod পদ্ধতি অপসারণ গৌধাক বলেন, "নিরাপত্তা এক্সপ্লোশনের 'পওজির শোষণগুলির কথা, গৌধাক বলেন।

তবে শুধুমাত্র এই কারণেই" শোষণ ভেক্টর "মুছে ফেলা হয় না, কারণ নাশকতার দ্বারা নিখুঁত সব দুর্বলতাগুলি ছড়িয়ে পড়েছে, গৌধাক বলেন।

নিরাপত্তা দ্বারা আবিষ্কৃত নতুন ঝুঁকি জাভা 7 আপডেট 7 এ এক্সপ্লোরেশনগুলিকে কয়েকটি দুর্বলতার সাথে সংযুক্ত করা যেতে পারে যা আবার পুরো জাভিএম স্যান্ডবক্স বাইপাস অর্জনের জন্য Oracle দ্বারা বহির্ভূত হয়ে যায়।

"একবার আমরা দেখেছি যে আমাদের সম্পূর্ণ জাভা স্যান্ডবক্স বাইপাস কোডগুলি আপডেট করার পরে কাজ বন্ধ হয়ে গেছে, আমরা আবার পিওসি কোডে আবার দেখা যায় এবং নতুন জাভা আপডেটকে সম্পূর্ণরূপে সম্পূর্ণভাবে ভাঙ্গার সম্ভাব্য উপায় সম্পর্কে ভাবতে শুরু করে ", গৌধাক বলেন। "একটি নতুন ধারণা এসেছিল, এটি যাচাই করা হয়েছিল এবং এটি প্রমাণিত হয়েছে যে এটি ছিল।"

অরক্পেল কোনও নিরাপত্তা সংস্থার কাছে জমা দেওয়া নতুন একক নিরাপত্তা এক্সপ্লোশনের রিপোর্টের অবশিষ্ট দুর্বলতাগুলির মোকাবেলা করার পরিকল্পনা করে না। শুক্রবার।

অক্টোবরে অক্টোবরে ওরাকল একটি নতুন জাভা সিকিউরিটি আপডেট মুক্তি দেবে কিনা তা স্পষ্ট নয়। কোম্পানিটি অবিলম্বে মন্তব্যের জন্য একটি অনুরোধ ফেরত দেয়নি।

নিরাপত্তা গবেষকরা সবসময় সতর্ক করে দিয়েছেন যে যদি বিক্রেতারা একটি দুর্বলতা মোকাবেলার জন্য অনেক বেশি সময় নেয় তবে এগুলি ইতিমধ্যেই জানা যায় না যে তারা এই সময়ে ভুল লোকেদের দ্বারা আবিষ্কৃত হতে পারে এটি সম্পর্কে।

বিভিন্ন বাগ হেক্টরদের জন্য একাধিক অনুষ্ঠান ঘটেছে একই পণ্যের মধ্যে একই রকম ঝুঁকির সন্ধান করতে এবং স্বাধীনভাবে শায়েস্তা করা দুটি জাভা ঝুঁকিপূর্ণ ক্ষেত্রে যা জাভা 7 আপডেট দ্বারা চিহ্নিত ছিল। 7.

"স্বাধীন অনুসন্ধানগুলি বাদ দেওয়া যাবে না," গৌধাক বলেন। "এই নির্দিষ্ট বিষয় [নতুন দুর্বলতা] হয়তো একটু বেশিই খুঁজে পাওয়া কঠিন হতে পারে।"

জাভা 6 বছরের জাভা 6 এর চেয়ে বেশি নিরাপত্তার পাশাপাশি সিকিউরিটি এক্সপ্লোরেশনের গবেষকদের অভিজ্ঞতার উপর ভিত্তি করে জাভা 6 এর চেয়ে আরও ভাল নিরাপত্তা রয়েছে। "জাভা 7 আমাদের বিচ্ছিন্ন করার জন্য আশ্চর্যজনক ছিল," গৌধাক বলেন। "জাভা 6 এর জন্য, আমরা জাওয়ার সফ্টওয়্যারের জন্য অ্যাপল কুইকটাইম এ আবিষ্কৃত সমস্যা ছাড়া পুরো স্যান্ডবক্স আপোস অর্জনের জন্য পরিচালিত হয়নি।"

Gowdiak অনেক নিরাপত্তা গবেষকরা আগে বলেছে প্রতিধ্বনিত হয়েছে: যদি আপনার প্রয়োজন হয় না জাভা, এটি আপনার সিস্টেম থেকে আনইনস্টল করুন।