گھر سیکیورٹی واچ اوریکل جاوا سیکیورٹی کے بہتر عہد کا اظہار کرتا ہے

اوریکل جاوا سیکیورٹی کے بہتر عہد کا اظہار کرتا ہے

2024

ویڈیو: Ø¹Ø§Ø±Ù Ú©Ø³Û’ Ú©ÛØªÛ’ ÛÛŒÚºØŸ Ø§Ù„Ù„Û Ø³Û’ Ù…ØØ¨Øª Ú©ÛŒ Ø¨Ø§ØªÛŒÚº Ø´ÛŒØ® Ø§Ù„Ø§Ø³Ù„Ø§Ù… ÚˆØ§Ú (اکتوبر 2024)

ویڈیو: Ø¹Ø§Ø±Ù Ú©Ø³Û’ Ú©ÛØªÛ’ ÛÛŒÚºØŸ Ø§Ù„Ù„Û Ø³Û’ Ù…ØØ¨Øª Ú©ÛŒ Ø¨Ø§ØªÛŒÚº Ø´ÛŒØ® Ø§Ù„Ø§Ø³Ù„Ø§Ù… ÚˆØ§Ú (اکتوبر 2024)

جاوا میں پائی جانے والی حالیہ کمزوریوں اور ٹکنالوجی کی مجموعی سلامتی کے بارے میں جاری خدشات کی روشنی میں ، اوریکل نے - دوبارہ promised وعدہ کیا ہے کہ اس سے مسائل حل ہوجائیں گے۔

اوریکل نے جاوا میں پہلے ہی کچھ تبدیلیاں کی ہیں اور وہ سیکیورٹی کو بہتر بنانے کے لئے نئے اقدامات پر کام کررہی ہیں ، اوریکل میں جاوا ڈویلپمنٹ کی سربراہ ، نینڈنی رمانی نے جمعہ کو ایک بلاگ پوسٹ میں لکھا۔ متعدد صنعتوں کے ملازمین کو نشانہ بنانے والے اعلی سطح پر ویب پر مبنی حملوں کے بعد ، اوریس نے کراس پلیٹ فارم ماحول میں بنیادی مسائل کو حل کرنے کا وعدہ کیا۔

رمانی کی پوسٹ میں بتائی گئی دو تبدیلیاں ، جن میں ایپلٹ سیکیورٹی ماڈل کی تازہ کاری اور جاوا پلگ ان کے پہلے سے طے شدہ سلوک شامل ہے۔ دوسری تبدیلیاں ، جیسے جاوا ایپلی کیشنز کالعدم سرٹیفکیٹ کو کس طرح ہینڈل کرتی ہیں ، کسٹم رولز بنانے کے ل local لوکل سیکیورٹی پالیسیاں نافذ کرتی ہیں ، اور سرور سائیڈ ایپلی کیشنز کے لئے دستیاب لائبریریوں کو محدود کرنا ، اس وقت ترقی پذیر ہیں۔ رمانی نے یہ نہیں بتایا کہ یہ تازہ کارییں کب دستیاب ہوں گی۔

سینڈ باکس کے بارے میں کیا خیال ہے؟

ریپڈ 7 کے چیف ریسرچ آفیسر اور میٹ اسپلائٹ انٹریٹ ٹیسٹنگ فریم ورک کے تخلیق کار ایچ ڈی مور نے ایک بیان میں کہا ، "مجموعی طور پر یہ جاوا کے لئے اچھی چیز ہے ، لیکن یہ تبدیلیاں جاوا سینڈ باکس ہی سے بنیادی مسئلے کو حل نہیں کرتی ہیں۔" سیکیورٹی واچ کو ای میل کریں۔

جاوا سینڈ باکس ایک محفوظ علاقہ ہے جہاں درخواستوں کو عمل میں لایا جاتا ہے ، جو بنیادی نظام سے الگ ہے۔ سمجھا جاتا ہے کہ اس سے پہلے کہ وہ مشین سنبھال لیں یا ہائی جیک چلانے کے عمل کو سنبھال لیں گے۔ تاہم ، جاوا سینڈ باکس کو نظرانداز کرنے کے لئے حملہ آوروں نے کامیابی کے ساتھ متعدد خطرات کا فائدہ اٹھایا ہے۔

مور نے کہا ، "جب تک کہ اوریکل پروسیسنگ سطح کے سینڈ باکسنگ پر عمل درآمد نہیں کرتا ، جیسے کہ ایڈوب ریڈر اور گوگل کروم استعمال کرتے ہیں ، تب تک ایک درست دستخط والا بدنما ایپلٹ سینڈ باکس سے بچنے اور سسٹم کو سمجھوتہ کرنے کے لئے JRE سیکیورٹی خامیوں کا غلط استعمال کرسکتا ہے۔

اب تک کی تبدیلیاں

اوریکل نے سیکیورٹی ماڈل کو حال ہی میں اپ ڈیٹ کیا تاکہ صارف دستخط شدہ ایپلٹ بغیر کسی اضافی مراعات کی منظوری دے سکتے ہیں اور بغیر دستخط شدہ ایپلٹ کو چلانے سے روک سکتے ہیں۔ اس کا مطلب ہے کہ صرف ایک ایپلٹ پر دستخط کرنے سے پروگرام کو خود بخود سینڈ باکس سے باہر نکل جانے کی صلاحیت نہیں ملتی ہے۔

مور نے کہا ، "یہ سیکیورٹی کے لئے اچھی چیز ہے۔

ایک اور اچھی چیز یہ ہے کہ ڈیفالٹ پلگ ان سیکیورٹی کی ترتیبات اب دستخط شدہ یا خود دستخط شدہ ایپلٹس کو پھانسی دینے سے روکتی ہیں۔ مور نے نوٹ کیا ، اب تبدیلی مخصوص ویب سائٹوں کو وائٹ لسٹ کرنے اور انٹرپرائز میں جاوا سیکیورٹی کی پالیسیاں مرکزی طور پر منظم کرنا ممکن بناتی ہے۔

اور جلد آرہا ہے …

فی الحال ، جاوا سرٹیفکیٹ کو منسوخ کرنے کی فہرستوں (سی آر ایل) اور آن لائن سرٹیفکیٹ اسٹیٹس پروٹوکول (او سی ایس پی) کی حمایت کرتا ہے تاکہ یہ تصدیق کریں کہ کیا دستخط شدہ سرٹیفکیٹ ابھی بھی درست ہے یا نہیں۔ تاہم ، چونکہ یہ چیک پہلے سے طے شدہ طور پر نہیں کیا جاتا ہے ، یہاں تک کہ اگر کسی سرٹیفکیٹ کو منسوخ کردیا گیا تھا ، حملہ آور اس خراب سند کو استعمال کرنے میں کامیاب ہوجائیں گے۔ اوریکل ایک تازہ کاری کی منصوبہ بندی کر رہا ہے جو پہلے سے طے شدہ جانچ پڑتال کو قابل بنائے گا۔

آنے والی لوکل سیکیورٹی پالیسی منتظمین کو پالیسی کی ترتیبات پر اضافی کنٹرول فراہم کرتی ہے ، جیسے نظام کے منتظمین کو یہ وضاحت دینا کہ کون سے کمپیوٹرز کو جاوا ایپلٹ چلائیں اور کون سے کمپیوٹر نہیں کرسکتے۔

رمانی نے کہا ، اگرچہ جاوا کے حالیہ تمام آزمائشوں نے ویب براؤزر میں چلنے والے ایپلٹس کو متاثر کیا ، اوریکل بھی اس بات کے طریقے تلاش کررہے ہیں کہ اس بات کو یقینی بنایا جاسکے کہ سرور سائیڈ کی ایپلی کیشنز محفوظ رہیں۔ ایک تبدیلی سے کچھ ایسی لائبریریوں کو ہٹانا ہوگا جن کی مدد سے حملے کی سطح کو کم کرنے کیلئے سرور کی طرف کی ضرورت نہیں ہے۔

تازہ ترین معلومات کے لئے نیا نظام الاوقات

اوریکل جاوا کو کچھ زیادہ کثرت سے اپ ڈیٹ کرنے جارہا ہے۔ اس وقت ، اوریکل کے دیگر تمام مصنوعات سے علیحدہ اپ ڈیٹ شیڈول کے بعد ، جاوا کو سال میں تین بار اپ ڈیٹ کیا جاتا ہے۔ رمانی نے کہا ، سہ ماہی کریٹیکل پیچ پیچ اپ ڈیٹ اکتوبر میں جاوا اصلاحات سمیت شروع ہوگا۔ اوریکل ابھی بھی ہنگامی اپ ڈیٹ جاری کرے گا ، جب ضروری ہو تو "بینڈ سے باہر"۔

اس بات پر غور کرتے ہوئے کہ سی پی یو پہلے ہی منتظمین کے لئے ایک وقتی کوشش ہے ، جاوا کو اختلاط میں شامل کرنا اس سے کہیں زیادہ اہم اپ ڈیٹ کرتا ہے۔ دوسری طرف ، اس کا مطلب ہے منتظمین کو جاوا کے الگ الگ اپ ڈیٹ شیڈول کو یاد رکھنے کی ضرورت نہیں ہے۔