সংস্থা এনসিসি গ্রুপের গবেষকরা প্রকাশ করেছেন সম্প্রতি জেফির প্রকল্প নিরীক্ষণের ফলাফল, যা একটি রিয়েল-টাইম অপারেটিং সিস্টেম (আরটিওএস), "ইন্টারনেটের জিনিস" (আইওটি) এর ধারণা অনুযায়ী ডিভাইসগুলিকে সজ্জিত করার জন্য ডিজাইন করা। ইফেলের অংশগ্রহনে জেফির তৈরি করা হচ্ছে।
Zephyr সমস্ত প্রক্রিয়াগুলির জন্য একটি একক ভার্চুয়াল ঠিকানা স্থান সরবরাহ করে গ্লোবাল শেয়ারড (SASOS, একক ঠিকানা স্পেস অপারেটিং সিস্টেম)। অ্যাপ্লিকেশন-নির্দিষ্ট কোডটি একটি নির্দিষ্ট অ্যাপ্লিকেশনের জন্য তৈরি কর্নেলের সাথে একত্রিত হয়ে নির্দিষ্ট কম্পিউটারে ডাউনলোড এবং চালানোর জন্য একশব্দ নির্বাহযোগ্য ফাইল গঠন করে।
সমস্ত সিস্টেমের সংস্থানগুলি সংকলনের পর্যায়ে নির্ধারিত হয়, যা কোডের আকার হ্রাস করে এবং উত্পাদনশীলতা বাড়ায়। অ্যাপ্লিকেশনটি চালানোর জন্য প্রয়োজনীয় কার্নেল বৈশিষ্ট্যগুলি সিস্টেম ইমেজে অন্তর্ভুক্ত করা যেতে পারে।
এটি লক্ষণীয় প্রধান সুবিধার মধ্যে জেফির উল্লেখ করেছেন সুরক্ষার দিকে নজর দিয়ে বিকাশ। এতে বিতর্ক আছে যে উন্নয়নের সমস্ত পর্যায়ে এর বাধ্যতামূলক পর্যায়ে যেতে হয় কোড সুরক্ষা নিশ্চিত করুন: অস্পষ্ট পরীক্ষা, স্থির বিশ্লেষণ, অনুপ্রবেশ পরীক্ষা, কোড পর্যালোচনা, পিছনের জমি স্থাপন বিশ্লেষণ এবং হুমকি মডেলিং।
দুর্বলতা সম্পর্কে
নিরীক্ষাটি জেফায়ারে 25 টি দূর্বলতা এবং এমসিইউবুটে 1 টি দুর্বলতা প্রকাশ করেছে। মোট, তাদের সনাক্ত করা হয়েছিল নেটওয়ার্ক স্ট্যাকের 6 টি দুর্বলতা, কার্নেলের মধ্যে 4, কমান্ড শেলের 2 টিসিস্টেম কল হ্যান্ডলারে 5, ইউএসবি সাবসিস্টেমে 5 এবং ফার্মওয়্যার আপডেট পদ্ধতিতে 3।
দুটি সমস্যা একটি সমালোচনামূলক বিপদের স্তর নির্ধারণ করা হয়েছিল, দুটি: উচ্চ, 9 মাঝারি, 9 - নিম্ন এবং 4 - অ্যাকাউন্টে নেওয়া। সমস্যা সমালোচনা আইপিভি 4 স্ট্যাক এবং এমকিউটিটি পার্সারকে প্রভাবিত করেযখন কিবিপজ্জনকগুলির মধ্যে ইউএসবি ভর স্টোরেজ এবং ইউএসবি ডিএফইউ ড্রাইভার রয়েছে.
তথ্য প্রকাশের সময়, কেবলমাত্র 15 টি দুর্বলতার জন্য সমাধানগুলি প্রস্তুত করা হয়েছিল আরও বিপজ্জনক, এখনও সমস্যাগুলি সমাধান হয়েছে যা পরিষেবা থেকে অস্বীকৃতি বা অতিরিক্ত কার্নেল সুরক্ষার জন্য প্রক্রিয়া সম্পর্কিত ব্যর্থতার দিকে পরিচালিত করে।
প্ল্যাটফর্মের আইপিভি 4 স্ট্যাকের একটি দূর থেকে শোষিত দুর্বলতা চিহ্নিত করা হয়েছে, নির্দিষ্ট উপায়ে আইসিএমপি প্যাকেটগুলি সংশোধন করার সময় মেমরির দুর্নীতি দেখা দেয়।
আর একটি গুরুতর সমস্যা মিউকিটিটি প্রোটোকল পার্সারে পাওয়া গেল, কিউএটি শিরোনামের ক্ষেত্রগুলির দৈর্ঘ্যের যথাযথ যাচাইকরণের অভাবজনিত কারণে ঘটে এবং এটি দূরবর্তী কোড কার্যকর করতে পারে। আইপিভি 6 স্ট্যাক এবং কোএপি প্রোটোকল বাস্তবায়নে পরিষেবার সমস্যাগুলির থেকে কম বিপজ্জনক অস্বীকৃতি পাওয়া যায়।
অন্যান্য সমস্যা স্থানীয়ভাবে কাজে লাগানো যেতে পারে পরিষেবা বা কোড সম্পাদন অস্বীকার করার কারণ কার্নেল স্তরে এই দুর্বলতাগুলির বেশিরভাগই সিস্টেম কলের আর্গুমেন্টগুলির যথাযথ চেকের অভাবের সাথে সম্পর্কিত এবং কার্নেল মেমরির স্বেচ্ছাসেবী ক্ষেত্রগুলি লেখার এবং পড়ার দিকে নিয়ে যেতে পারে।
সমস্যাগুলি নিজেই সিস্টেম কল প্রসেসিং কোডটি কভার করে - একটি নেতিবাচক সিস্টেম কল নম্বর অ্যাক্সেস একটি পূর্ণসংখ্যার ওভারফ্লোতে বাড়ে। এবংকার্নেল এএসএলআর সুরক্ষা বাস্তবায়নে সমস্যাগুলিও চিহ্নিত করেছিল (অ্যাড্রেস স্পেস র্যান্ডমাইজেশন) এবং স্ট্যাকের উপর ক্যানারি লেবেল ইনস্টল করার প্রক্রিয়া, এই প্রক্রিয়াগুলি অকার্যকরভাবে রেন্ডার করে।
অনেকগুলি বিষয় ইউএসবি স্ট্যাক এবং পৃথক ড্রাইভারকে প্রভাবিত করে। উদাহরণস্বরূপ, একটি ইউএসবি ভর স্টোরেজ ইস্যু আপনাকে ডিফল্ট কোনও ইউএসবি নিয়ন্ত্রিত আক্রমণকারী হোস্টের সাথে সংযুক্ত করার সময় কার্নেল স্তরে একটি বাফার ওভারফ্লো এবং কোড চালানোর অনুমতি দেয়।
ইউএসবি ডিএফইউতে দুর্বলতা, ইউএসবি-র মাধ্যমে নতুন ফার্মওয়্যার ডাউনলোডের জন্য ড্রাইভার, আপনাকে এনক্রিপশন ব্যবহার না করে এবং উপাদান ডিজিটাল স্বাক্ষর যাচাইকরণের সাথে সুরক্ষিত বুট মোডকে বাইপাস না করে কোনও মাইক্রোকন্ট্রোলারের অভ্যন্তরীণ ফ্ল্যাশে একটি পরিবর্তিত ফার্মওয়্যার চিত্র লোড করতে দেয়। এছাড়াও, এমসিইউবুট ওপেন বুটলোডার কোডটি অধ্যয়ন করা হয়েছিল, যেখানে একটি বিপজ্জনক অ-দুর্বলতা পাওয়া গেছে যা ইউআআআআআরটির মাধ্যমে সিম্পল ম্যানেজমেন্ট প্রোটোকল (এসএমপি) ব্যবহারের সময় বাফার ওভারফ্লো করতে পারে।