કંપની એનસીસી ગ્રુપના સંશોધકોએ પ્રકાશિત કર્યા તાજેતરમાં ઝેફિર પ્રોજેક્ટ audડિટના પરિણામો, જે એક રીઅલ-ટાઇમ operatingપરેટિંગ સિસ્ટમ (આરટીઓએસ) છે, જે "ઇન્ટરનેટની વસ્તુઓ" (આઇઓટી) ની વિભાવના અનુસાર ઉપકરણોને સજ્જ કરવા માટે રચાયેલ છે. ઇન્ફેલની ભાગીદારીથી ઝેફિર વિકસિત થઈ રહ્યું છે.
ઝેફાયર બધી પ્રક્રિયાઓ માટે એક વર્ચુઅલ સરનામાં સ્થાન પ્રદાન કરે છે વૈશ્વિક વહેંચાયેલ (SASOS, સિંગલ એડ્રેસ સ્પેસ ratingપરેટિંગ સિસ્ટમ). એપ્લિકેશન-વિશિષ્ટ કોડ વિશિષ્ટ એપ્લિકેશન માટે બનાવેલ કર્નલ સાથે જોડવામાં આવે છે અને અમુક કમ્પ્યુટર પર ડાઉનલોડ કરવા અને ચલાવવા માટે મોનોલિથિક એક્ઝેક્યુટેબલ ફાઇલ બનાવે છે.
બધા સિસ્ટમ સંસાધનો સંકલન તબક્કે નક્કી થાય છે, જે કોડના કદને ઘટાડે છે અને ઉત્પાદકતામાં વધારો કરે છે. એપ્લિકેશન ચલાવવા માટે ફક્ત કર્નલ સુવિધાઓ જ સિસ્ટમ ઇમેજમાં સમાવી શકાય છે.
તે નોંધનીય છે મુખ્ય ફાયદાઓ વચ્ચે ઝેફિરે ઉલ્લેખ કર્યો સલામતી પર નજર રાખીને વિકાસ. એવી દલીલ કરવામાં આવે છે વિકાસના તમામ તબક્કાઓ ફરજિયાત તબક્કામાંથી પસાર થાય છે કોડ સુરક્ષાની પુષ્ટિ કરો: અસ્પષ્ટ પરીક્ષણ, સ્થિર વિશ્લેષણ, ઘૂંસપેંઠ પરીક્ષણ, કોડ સમીક્ષા, બેકડોર જમાવટ વિશ્લેષણ અને ધમકી આપનારું મોડેલિંગ.
નબળાઈઓ વિશે
Auditડિટમાં ઝેફિરમાં 25 નબળાઈઓ અને એમસીયુબૂટમાં 1 નબળાઈ હોવાનું બહાર આવ્યું છે. કુલ, તેઓ ઓળખાઈ ગયા હતા નેટવર્ક સ્ટેકમાં 6 નબળાઈઓ, કર્નલમાં 4, આદેશ શેલમાં 2સિસ્ટમ કોલ હેન્ડલર્સમાં 5, યુએસબી સબસિસ્ટમમાં 5 અને ફર્મવેર અપડેટ મિકેનિઝમમાં 3.
બે સમસ્યાઓનો સંકટ જોખમી સ્તરને સોંપવામાં આવ્યો છે, બે: ઉચ્ચ, 9 મધ્યમ, 9 - નીચા અને 4 - ધ્યાનમાં લેવા. સમસ્યાઓ IPv4 સ્ટેક અને એમક્યુટીટી પાર્સરને અસર કરે છે, જ્યારે શુંજોખમી લોકોમાં યુએસબી માસ સ્ટોરેજ અને યુએસબી ડીએફયુ ડ્રાઇવરો શામેલ છે.
માહિતી પ્રકાશન સમયે, ફક્ત 15 નબળાઈઓ માટે ફિક્સ તૈયાર કરવામાં આવ્યા હતા વધુ ખતરનાક, હજી પણ એવા મુદ્દાઓ છે કે જેનું નિરાકરણ કરવામાં આવ્યું છે, જે સેવાના અસ્વીકાર તરફ દોરી જાય છે અથવા વધારાની કર્નલ સુરક્ષા માટેના તંત્રની નિષ્ફળતા તરફ દોરી જાય છે.
પ્લેટફોર્મના આઇપીવી 4 સ્ટેકમાં દૂરથી શોષિત નબળાઈને ઓળખવામાં આવી છે, જે આઇસીએમપી પેકેટોને ચોક્કસ રીતે સુધારવામાં આવે ત્યારે પ્રક્રિયા કરવામાં આવે ત્યારે મેમરી ભ્રષ્ટાચાર તરફ દોરી જાય છે.
બીજી ગંભીર સમસ્યા એમક્યુટીટી પ્રોટોકોલ પાર્સરમાં મળી, ક્યૂતે હેડરમાંના ફીલ્ડ્સની લંબાઈની યોગ્ય ચકાસણીના અભાવને કારણે થાય છે અને તે રીમોટ કોડ એક્ઝેક્યુશન તરફ દોરી શકે છે. IPv6 સ્ટેક અને કોએપી પ્રોટોકોલ અમલીકરણમાં સેવાના મુદ્દાઓનો ઓછો ખતરનાક અસ્વીકાર જોવા મળે છે.
અન્ય સમસ્યાઓ સ્થાનિક રીતે શોષણ કરી શકાય છે સેવા અથવા કોડ અમલના અસ્વીકારનું કારણ કર્નલ સ્તર પર. આમાંની મોટાભાગની નબળાઈઓ સિસ્ટમ ક callsલ્સના દલીલોની યોગ્ય તપાસની અછત સાથે સંબંધિત છે, અને તે કર્નલ મેમરીના મનસ્વી ક્ષેત્રોના લેખન અને વાંચન તરફ દોરી શકે છે.
સમસ્યાઓ સિસ્ટમ ક callલ પ્રોસેસિંગ કોડને પણ આવરી લે છે - નકારાત્મક સિસ્ટમ ક callલ નંબરને .ક્સેસ કરવાથી પૂર્ણાંક ઓવરફ્લો થાય છે. અનેકર્નલ દ્વારા એએસએલઆર સંરક્ષણના અમલીકરણમાં સમસ્યાઓ પણ ઓળખવામાં આવી હતી (એડ્રેસ સ્પેસ રેન્ડમાઇઝેશન) અને સ્ટેક પર કેનેરી લેબલ્સ ઇન્સ્ટોલ કરવાની પદ્ધતિ, આ પદ્ધતિઓને બિનઅસરકારક રેન્ડર કરે છે.
ઘણા મુદ્દાઓ યુએસબી સ્ટેક અને વ્યક્તિગત ડ્રાઇવરોને અસર કરે છે. ઉદાહરણ તરીકે, યુએસબી માસ સ્ટોરેજમાં સમસ્યા તમને જ્યારે કન્ટ્રોલ કરેલા યુએસબી એટેકિંગ હોસ્ટ સાથે ડિવાઇસને કનેક્ટ કરે છે ત્યારે તમને કર્નલ સ્તર પર બફર ઓવરફ્લો અને કોડ ચલાવવા માટે પરવાનગી આપે છે.
યુએસબી દ્વારા નવું ફર્મવેર ડાઉનલોડ કરવા માટેના ડ્રાઈવર, યુએસબી ડીએફયુમાં નબળાઈ તમને એન્ક્રિપ્શનનો ઉપયોગ કર્યા વિના અને ઘટક ડિજિટલ સહી ચકાસણી સાથે સુરક્ષિત બૂટ મોડને બાયપાસ કર્યા વિના, એક માઇક્રોકન્ટ્રોલરની આંતરિક ફ્લેશમાં ફેરફાર કરેલા ફર્મવેર છબીને લોડ કરવાની મંજૂરી આપે છે. આ ઉપરાંત, એમસીયુબૂટ ખુલ્લા બૂટલોડર કોડનો અભ્યાસ કરવામાં આવ્યો હતો, જેમાં એક બિન-જોખમી નબળાઈ મળી હતી જે યુએઆરટી દ્વારા સિમ્પલ મેનેજમેન્ટ પ્રોટોકોલ (એસએમપી) નો ઉપયોગ કરતી વખતે બફર ઓવરફ્લો તરફ દોરી શકે છે.