ভিডিও: মাà¦à§‡ মাà¦à§‡ টিà¦à¦¿ অà§à¦¯à¦¾à¦¡ দেখে চরম মজা লাগে (নভেম্বর 2024)
জাভায় একটি গুরুতর সুরক্ষা বাগ বন্ধ করার জন্য ওরাকল একটি জরুরি আপডেট প্রকাশ করেছে যা ইতিমধ্যে আক্রমণকারীরা ব্যবহারকারীর কম্পিউটারগুলিতে প্রবেশের জন্য ব্যবহৃত হয়েছিল।
ওরাকলের জাভা in-এ সম্প্রতি সন্ধান করা সমালোচিত দুর্বলতার বিষয়ে আউট-অফ-ব্যান্ড প্যাচটি সম্বোধন করেছে, ওরাকল তার ১৩ ই জানুয়ারী মুক্তিপ্রাপ্ত নিরাপত্তা উপদেষ্টায় বলেছে। একজন আক্রমণকারী একটি দূষিত অ্যাপলেট চালিয়ে যাওয়া একটি ওয়েবসাইট পরিদর্শন করার জন্য ব্যবহারকারীদের প্রতারণা করে সর্বশেষ ত্রুটিটি কাজে লাগিয়ে দেবে। ব্যবহারকারীদের অবিলম্বে জাভা 7 আপডেট 11 আপডেট করার পরামর্শ দেওয়া হচ্ছে।
জাভা 7 আপডেট 11 সিভিই -2013-0422 (সর্বশেষ দুর্বলতা) পাশাপাশি সিভিই -২২-২১১74৪, একটি পুরানো রিমোট কোড এক্সিকিউশন বাগ যা গত জুনে ফিরে এসেছে both উভয় ত্রুটি 10 টির একটি সাধারণ দুর্বলতা স্কোরিং সিস্টেমের রেটিং পেয়েছে, এই স্কেলটিতে সর্বোচ্চ সম্ভাব্য স্কোর। এই প্যাঁচে, ওরাকল ত্রুটিটি বন্ধ করে দিয়েছিল এবং জাভা কীভাবে ওয়েব অ্যাপ্লিকেশনগুলির সাথে ইন্টারঅ্যাক্ট করেছিল তাও পরিবর্তন করেছে।
"জাভা অ্যাপলেট এবং ওয়েব স্টার্ট অ্যাপ্লিকেশনগুলির জন্য ডিফল্ট সুরক্ষা স্তরটি 'মিডিয়াম' থেকে 'হাই' এ উন্নীত করা হয়েছে, " ওরেকল পরামর্শদানে বলেছেন।
এর অর্থ স্বাক্ষরযুক্ত জাভা অ্যাপলেট বা ওয়েব স্টার্ট অ্যাপ্লিকেশন চালুর আগে ব্যবহারকারীকে সর্বদা অনুরোধ জানানো হবে। পূর্বে, জাভা অ্যাপলেটগুলি এবং অ্যাপ্লিকেশনগুলি স্বয়ংক্রিয়ভাবে চালিত হয় যা ব্যবহারকারীদের জাভার সর্বশেষতম সংস্করণ ইনস্টল করা ছিল। "উচ্চ" সেটিংয়ের মাধ্যমে, কোনও স্বাক্ষরবিহীন অ্যাপ্লিকেশন চালুর আগে ব্যবহারকারীকে সর্বদা সতর্ক করা হয় যাতে আক্রমণকারীরা নীরব আক্রমণ চালাতে সক্ষম না হয়, ওরেकल বলেছিল।
আউট অফ-ব্যান্ড প্যাচ
ওরাকল থেকে জরুরী প্যাচ অস্বাভাবিক। সংস্থাটি সাধারণত একটি ত্রৈমাসিক চক্রের দিকে জাভা প্যাচ করে, তবে সম্ভবত এই আউট-অফ-ব্যান্ড ফিক্সটি প্রকাশ করেছে কারণ "ব্ল্যাকহোল" এবং "নিউক্লিয়ারপ্যাক" সহ বেশ কয়েকটি জনপ্রিয় শোষণ কিটগুলির মধ্যে ইতিমধ্যে এই দুর্বলতাটিকে ব্যবহার করে আক্রমণ কোডটি যুক্ত হয়ে গেছে। ক্রিমওয়্যার কিটগুলি অপরাধীদের পক্ষে ম্যালওয়্যারযুক্ত কম্পিউটারগুলিকে সংক্রামিত করা এবং তাদের নিজের নিকৃষ্ট উদ্দেশ্যে মেশিনগুলি দখল করা সহজ করে তোলে। গবেষকরা কোডটি চলমান ওয়েবসাইটগুলি ইতিমধ্যে উন্মোচিত করেছেন, যদিও কতজন ব্যবহারকারী ইতিমধ্যে সমঝোতা হয়েছেন তা এই মুহূর্তে জানা যায়নি।
গবেষকরা অনুরূপ দূরবর্তী মৃত্যুদন্ড কার্যকর করার ত্রুটি আবিষ্কার করার পরে ওরাকল এর আগে সর্বশেষ পতনের বাইরে একটি ব্যাক প্যাচ প্রকাশ করেছিল।
ডেস্কটপ নয়, ওয়েব ব্রাউজারগুলিতে জাভা প্রভাবিত করে
এই স্মরণে রাখা গুরুত্বপূর্ণ যে এই আপডেটে সংশোধন করা দুটি রিমোট কোড প্রয়োগের দুর্বলতাগুলি "কেবলমাত্র ওয়েব ব্রাউজারগুলিতে জাভার ক্ষেত্রে প্রযোজ্য কারণ তারা দূষিত ব্রাউজার অ্যাপলেটগুলির মাধ্যমে শোষণযোগ্য, " এরিক মরিস, ওরাকলের সফ্টওয়্যার সুরক্ষা নিশ্চয়তা পরিচালক ওরাকল সফ্টওয়্যার সুরক্ষা আশ্বাস ব্লগে লিখেছিলেন । আপনি যদি জাভা চালিত ওয়েবসাইটগুলিতে নিয়মিত অ্যাক্সেস না করেন তবে আপনার ব্রাউজারের মধ্যে জাভা প্লাগইনটি অক্ষম করা উপযুক্ত। সিকিউরিটিওয়াচের নীল রুবেঙ্কিং থেকে কীভাবে জাভা অক্ষম করবেন সে সম্পর্কে পদক্ষেপ ধাপে নির্দেশাবলী এখানে রইল।
অনেকগুলি ডেস্কটপ অ্যাপ্লিকেশন এবং জনপ্রিয় গেমস (মাইনক্রাফ্ট, যে কেউ?) জাভা ব্যবহার করে তবে স্থানীয় জাভা ক্লায়েন্ট আক্রমণে নেই।
মরিস লিখেছেন, "এই দুর্বলতাগুলি সার্ভারে, জাভা ডেস্কটপ অ্যাপ্লিকেশনগুলিতে বা এম্বেড করা জাভাতে জাভাকে প্রভাবিত করে না।"