शोधकर्ता: डेस्कटॉप के लिए जावा रनटाइम पर्यावरण में गंभीर दोष, सर्वर

पोलिश सुरक्षा अनुसंधान फर्म सुरक्षा एक्सप्लोरेशन से जावा भेद्यता शिकारी का दावा है कि एक नई भेद्यता है जो नवीनतम डेस्कटॉप और सर्वर संस्करणों को प्रभावित करती है जावा रनटाइम एनवायरनमेंट (जेआरई)।

भेद्यता जावा के रिफ्लेक्शन एपीआई घटक में स्थित है और इसका इस्तेमाल जावा सुरक्षा सैंडबॉक्स को पूरी तरह से बाईपास करने और कंप्यूटर पर मनमाने ढंग से कोड निष्पादित करने के लिए किया जा सकता है, सुरक्षा अन्वेषण के सीईओ एडम गौडियाक ने सोमवार को कहा पूर्ण प्रकटीकरण मेलिंग सूची में भेजा गया एक ईमेल। उन्होंने कहा कि दोष 7 जावा के सभी संस्करणों को प्रभावित करता है, जिसमें जावा 7 अपडेट 21 शामिल है जिसे पिछले मंगलवार को ओरेकल द्वारा जारी किया गया था और उसी समय जारी किए गए नए सर्वर जेआरई पैकेज को जारी किया गया था।

जैसा कि नाम से पता चलता है, सर्वर जेआरई एक संस्करण है जावा रनटाइम पर्यावरण जावा सर्वर तैनाती के लिए डिज़ाइन किया गया है। ओरेकल के अनुसार, सर्वर जेआरई में जावा ब्राउज़र प्लग-इन, वेब-आधारित शोषण के लिए लगातार लक्ष्य, स्वत: अद्यतन घटक या नियमित जेआरई पैकेज में इंस्टॉल इंस्टॉलर नहीं है।

[आगे पढ़ने: कैसे अपने विंडोज पीसी से मैलवेयर हटाने के लिए]

हालांकि ओरेकल को पता है कि जावा कमजोरियों का भी कमजोर घटकों में एपीआई (एप्लिकेशन प्रोग्रामिंग इंटरफेस) में दुर्भावनापूर्ण इनपुट की आपूर्ति करके सर्वर परिनियोजन पर शोषण किया जा सकता है, इसका संदेश आम तौर पर जावा का बहुमत है भेद्यता केवल जावा ब्राउज़र प्लग-इन को प्रभावित करती है या सर्वर पर जावा त्रुटियों के लिए शोषण परिदृश्य असंभव हैं, गौडियाक ने मंगलवार को ईमेल के माध्यम से कहा।

"हमने उपयोगकर्ताओं को यह जानने की कोशिश की कि जावा के प्रभाव के संबंध में ओरेकल के दावे गलत थे एसई भेद्यता, "गौडियाक ने कहा। "हमने साबित किया कि ओरेकल द्वारा मूल्यांकन की गई बग्स केवल जावा प्लग-इन को प्रभावित करने के कारण सर्वरों को भी प्रभावित कर सकती हैं।"

फरवरी में, सुरक्षा अन्वेषण ने जावा भेद्यता के लिए एक सबूत-ऑफ-अवधारणा शोषण प्रकाशित किया जो प्लग-इन- गौडियाक ने कहा कि आरएमआई (रिमोट विधि आमंत्रण) प्रोटोकॉल का उपयोग कर सर्वर पर जावा पर हमला करने के लिए इस्तेमाल किया जा सकता था। उन्होंने कहा कि ओरेकल ने पिछले सप्ताह जावा अपडेट में आरएमआई हमले वेक्टर को संबोधित किया था, लेकिन सर्वर पर जावा परिनियोजन पर हमला करने के अन्य तरीकों का अस्तित्व है।

सुरक्षा अन्वेषण शोधकर्ताओं ने सर्वर जेआरई के खिलाफ मिली नई भेद्यता के सफल शोषण की पुष्टि नहीं की है, लेकिन वे ज्ञात जावा एपीआई और घटकों को सूचीबद्ध करते हैं जिनका उपयोग सर्वर पर अविश्वसनीय जावा कोड को लोड या निष्पादित करने के लिए किया जा सकता है।

यदि ओरेकल के "दिशानिर्देश 3-8 के दिशानिर्देश 3-8 में वर्णित घटकों में से एक में एक हमला वेक्टर मौजूद है" जावा के लिए सुरक्षित कोडिंग दिशानिर्देश प्रोग्रामिंग भाषा, "सोमवार को ओरेकल को रिपोर्ट की गई एक भेद्यता के माध्यम से जावा सर्वर परिनियोजन पर हमला किया जा सकता है, गौडियाक ने कहा।

शोधकर्ता ने जावा 7 में सुरक्षा मुद्दों के लिए प्रतिबिंब एपीआई लागू करने और ऑडिट करने के तरीके के साथ समस्या उठाई, क्योंकि घटक अब तक कई भेद्यता का स्रोत रहा है। गौडियाक ने कहा, "प्रतिबिंब एपीआई जावा सुरक्षा मॉडल को बहुत अच्छी तरह से फिट नहीं करता है और यदि अनुचित रूप से उपयोग किया जाता है तो यह आसानी से सुरक्षा समस्याओं का कारण बन सकता है।"

यह नया दोष प्रतिबिंब एपीआई कमजोरी का एक सामान्य उदाहरण है। उन्होंने कहा कि प्रतिभूति एपीआई से संबंधित जेनेरिक सुरक्षा समस्या के बाद एक साल पहले जावा 7 कोड में यह भेद्यता सुरक्षा उपस्थिति से ओरेकल को रिपोर्ट नहीं की गई थी।