বাড়ি Securitywatch ওরাকল ভাল জাভা সুরক্ষা মানত

ওরাকল ভাল জাভা সুরক্ষা মানত

ভিডিও: Devar Bhabhi hot romance video देवर à¤à¤¾à¤à¥€ की साथ हॉट रोमाठ(নভেম্বর 2024)

ভিডিও: Devar Bhabhi hot romance video देवर à¤à¤¾à¤à¥€ की साथ हॉट रोमाठ(নভেম্বর 2024)
Anonim

জাভাতে সাম্প্রতিক দুর্বলতা এবং প্রযুক্তির সামগ্রিক সুরক্ষা সম্পর্কে চলমান উদ্বেগের আলোকে, ওরাকল - আবার - প্রতিশ্রুতি দিয়েছে যে এটি সমস্যার সমাধান করবে।

ওরাকল ইতিমধ্যে জাভাতে কিছু পরিবর্তন করেছে এবং সুরক্ষা উন্নয়নে নতুন উদ্যোগ নিয়ে কাজ করছে, শুক্রবার একটি ব্লগ পোস্টে ওরাকলের জাভা বিকাশের প্রধান নন্দিনী রামানি লিখেছিলেন। একাধিক হাই-প্রোফাইল ওয়েব-ভিত্তিক আক্রমণগুলি বিভিন্ন শিল্প জুড়ে কর্মীদের লক্ষ্যবস্তু করার পরে, ওরেস ক্রস-প্ল্যাটফর্মের পরিবেশে অন্তর্নিহিত সমস্যাগুলি সমাধান করার প্রতিশ্রুতি দিয়েছিল।

অ্যাপলেট সুরক্ষা মডেলের আপডেট এবং জাভা প্লাগইনের ডিফল্ট আচরণ সহ রামানির পোস্টে বর্ণিত দুটি পরিবর্তন ইতিমধ্যে লাইভ। অন্যান্য পরিবর্তনগুলি যেমন জাভা অ্যাপ্লিকেশনগুলি কীভাবে বাতিল হওয়া শংসাপত্রগুলি পরিচালনা করে, কাস্টম বিধি তৈরি করতে স্থানীয় সুরক্ষা নীতি প্রয়োগ করে এবং সার্ভার-সাইড অ্যাপ্লিকেশনগুলিতে লাইব্রেরিগুলিকে সীমাবদ্ধ করে, বর্তমানে বিকাশে রয়েছে are এই আপডেটগুলি কখন পাওয়া যাবে তা রামানি নির্দেশ করেননি।

স্যান্ডবক্স সম্পর্কে কি?

"সামগ্রিকভাবে নেওয়া, এটি জাভার পক্ষে ভাল জিনিস, তবে এই পরিবর্তনগুলি নিজেই জাভা স্যান্ডবক্সের সাথে অন্তর্নিহিত সমস্যাটির সমাধান করতে পারে না, " র‌্যাপিড of-এর প্রধান গবেষণা কর্মকর্তা এবং মেটাস্পপ্লিট অনুপ্রবেশ পরীক্ষার কাঠামোর নির্মাতা এইচডি মুর এক বলেছিলেন সিকিউরিটি ওয়াচে ইমেল করুন।

জাভা স্যান্ডবক্স একটি সুরক্ষিত অঞ্চল যেখানে অ্যাপ্লিকেশনগুলি কার্যকর করা হয়, অন্তর্নিহিত সিস্টেম থেকে পৃথক। স্যান্ডবক্সটি মেশিনটি গ্রহণ করতে বা হাইজ্যাক চলমান প্রক্রিয়াগুলি গ্রহণের আগে দূষিত এক্সিকিউটেবলকে ধরে ফেলবে বলে মনে করা হচ্ছে। তবে, আক্রমণকারীরা জাভা স্যান্ডবক্সকে বাইপাস করতে সফলভাবে বেশ কয়েকটি দুর্বলতা কাজে লাগিয়েছে।

মুর বলেন, "যতক্ষণ না ওরাকল প্রক্রিয়া-স্তরের স্যান্ডবক্সিং প্রয়োগ করে না, যেমন অ্যাডোব রিডার এবং গুগল ক্রোম ব্যবহার করে, বৈধ স্বাক্ষরযুক্ত একটি দূষিত অ্যাপলেট এখনও স্যান্ডবক্স থেকে বাঁচতে এবং সিস্টেমের সাথে আপস করার জন্য জেআরই সুরক্ষা ত্রুটিগুলিকে অপব্যবহার করতে পারে।

এতদিনের পরিবর্তনগুলি

ওরাকল সম্প্রতি সুরক্ষা মডেলটি আপডেট করেছে যাতে ব্যবহারকারীরা অতিরিক্ত সুযোগ না দিয়ে স্বাক্ষরিত অ্যাপলেটগুলি চালাতে পারেন এবং স্বাক্ষরবিহীন অ্যাপলেটগুলি চালানো থেকে আটকাতে পারে। এর অর্থ কেবলমাত্র একটি অ্যাপলেটে সাইন ইন করা স্বয়ংক্রিয়ভাবে প্রোগ্রামটিকে স্যান্ডবক্স থেকে বেরিয়ে আসার ক্ষমতা দেয় না।

"এটি সুরক্ষার পক্ষে ভাল জিনিস, " মুর বলেছিলেন।

আর একটি ভাল জিনিস হ'ল ডিফল্ট প্লাগ-ইন সুরক্ষা সেটিংস এখন স্বাক্ষরযুক্ত বা স্ব-স্বাক্ষরিত অ্যাপলেটগুলি কার্যকর করতে বাধা দেয়। পরিবর্তনের ফলে সুনির্দিষ্ট ওয়েব সাইটগুলি শ্বেত তালিকাভুক্ত করা এবং এন্টারপ্রাইজে কেন্দ্রীয়ভাবে জাভা সুরক্ষা নীতিগুলি পরিচালনা করা সম্ভব হয়েছে, মুর উল্লেখ করেছিলেন।

এবং শীঘ্রই আসছে...

স্বাক্ষরিত শংসাপত্রটি এখনও বৈধ কিনা তা যাচাই করতে বর্তমানে জাভা শংসাপত্র প্রত্যাহার তালিকাগুলি (সিআরএল) এবং অনলাইন শংসাপত্রের স্ট্যাটাস প্রোটোকল (ওসিএসপি) উভয় সমর্থন করে। তবে, যেহেতু চেকটি ডিফল্টরূপে সম্পাদিত হয় না, এমনকি কোনও শংসাপত্র বাতিল হয়ে গেলেও আক্রমণকারীরা সেই খারাপ শংসাপত্রটি ব্যবহার করতে সক্ষম হবে। ওরাকল একটি আপডেটের পরিকল্পনা করছেন যা ডিফল্টরূপে চেক করতে সক্ষম করবে।

আসন্ন স্থানীয় সুরক্ষা নীতি প্রশাসকগণকে নীতি সেটিংসের উপর অতিরিক্ত নিয়ন্ত্রণ দেয় যেমন জাভা অ্যাপলেটগুলি পরিচালনা করতে কোন কম্পিউটারগুলি পরিচালনা করতে পারে এবং কোন কম্পিউটারগুলি পারবেন না এমন সিস্টেম প্রশাসককে নির্ধারণ করতে দেয়।

যদিও জাভার সাম্প্রতিক সমস্ত পরীক্ষাগুলি ওয়েব ব্রাউজারে চলমান অ্যাপলেটগুলিকে প্রভাবিত করেছে, ওরাকল সার্ভার-সাইড অ্যাপ্লিকেশনগুলি সুরক্ষিত রয়েছে তা নিশ্চিত করার জন্য উপায়গুলিও অনুসন্ধান করছে Ra একটি পরিবর্তন হ'ল নির্দিষ্ট গ্রন্থাগারগুলি সরিয়ে ফেলা হবে যা আক্রমণ পৃষ্ঠকে হ্রাস করতে সার্ভার-সাইডে প্রয়োজন হয় না।

আপডেটের জন্য নতুন সময়সূচী

ওরাকল জাভা আরও কিছু ঘন ঘন আপডেট করতে চলেছে। এই মুহূর্তে, জাভা অন্যান্য তিনটি ওরাকল পণ্য থেকে পৃথক আপডেটের সময়সূচী অনুসরণ করে বছরে তিনবার আপডেট করা হয়। রামানি জানান, ত্রৈমাসিক ক্রিটিকাল প্যাচ আপডেট অক্টোবরে জাভা ফিক্সগুলি সহ শুরু হবে। অরাকল তখনও জরুরি প্রয়োজনে "ব্যান্ডের বাইরে" জরুরী আপডেটগুলি প্রকাশ করবে।

সিপিইউ প্রশাসকদের জন্য ইতিমধ্যে একটি সময় নিবিড় প্রচেষ্টা হিসাবে বিবেচনা করে, মিশ্রণে জাভা যুক্ত করা আরও একটি বৃহত্তর আপডেটের জন্য তৈরি করে। অন্যদিকে, এর অর্থ অ্যাডমিনিস্ট্রেটরদের জাভার পৃথক আপডেটের সময়সূচি মনে রাখতে হবে না।

ওরাকল ভাল জাভা সুরক্ষা মানত