کاروتک

تکنولوژی و علمی

تلویزیون و سینما

تلویزیون کاروتک

کارشناسان امنیتی می‌گویند که شرکت اوراکل توانسته تا یک آسیب‌پذیری را در فریم‌ورک جاوا اصلاح کنند که خطرات بسیار بالایی را برای کاربران به‌همراه داشت.

این آسیب‌پذیری که با نام CVE-2022-21449 به ثبت رسیده، در الگوریتم امضای دیجیتالی منحنی بیضوی یا همان ECDSA این شرکت برای نسخه 15 جاوا و جدیدتر از آن یافت شده است. این آسیب‌پذیری به هکرها و افراد سودجو این امکان را می‌دهد تا گواهینامه‌ها و امضاهای TSL، کدهای احراز هویت دو مرحله‌ای، اعتبارنامه‌های مجوز و موارد مشابه را جعل کنند.

همان‌طور که برای اولین بار توسط رسانه ArsTechnica توضیح داده شد، ECDSA الگوریتمی است که این توانایی را دارد تا به‌صورتی دیجیتالی صحیح و سالم بودن پیام‌ها را تایید کند. همان‌طور که این الگوریتم کلید‌ها را تولید می‌کند، اغلب در استانداردهایی مانند احراز هویت دومرحله‌ای FIDO و Security Assertion Markup Language و OpenID و JSON استفاده می‌شود.

این آسیب‌پذیری اولین بار توسط یکی از محققین موسسه ForgeRock، یعنی نیل مدن، کشف شد که این آسیب‌پذیری را با کارت‌های شناسایی خالی سریال علمی تخیلی Doctor Who مقایسه کرد. در این سریال گفته شده، هر شخصی که به کارت شناسایی افراد نگاهی می‌ندازد، با وجود آنکه کارت گفته شده کاملا خالی است، اما هر چیزی را که دارند آن کارت می‌خواهد در درون آن کارت مشاهده می‌کند.

مدن در ادامه این موضوع توضیح داد که به‌نظر می‌رسد که برخی از نسخه‌های اخیر جاوا نسبت‌به ترفند و آسیب‌پذیری مشابهی در اجرای امضاهای پرکاربرد ECDSA آسیب‌پذیر بوده‌اند.

اگر در حال حاضر روی سیستم خود یکی از این نسخه‌هایی را اجرا می‌کنید که در برابر آسیب‌پذیری مورد نظر ضعف دارد، هکرها و افراد سودجو می‌توانند که به‌راحتی برخی از انواع گواهینامه‌های SSL و برقراری ارتباط متقابل که اجازه رهگیری و اصلاح ارتباطات را می‌دهد، JWTهای امضا شده، ادعاهای SAML و توکن‌های شناسایی OIDC و حتی پیام‌های احراز هویت WebAuthn را جعل کند.

این آسیب‌پذیری در حال حاضر توانسته تا امتیاز 7.5 از 10 را کسب کند، اما مدن کاملا با این ارزیابی انجام شده مخالف است و آن را به‌هیچ عنوان درست نمی‌داند. او در مورد این موضوع گفته شده ادامه داد:

سخت است که از شدت و قدرت این آسیب‌پذیری اغراق کنیم. اگر از امضاهای ECDSA برای هر یک از مکانیزم‌های امنیتی مربوط به سیستم خود استفاده می‌کنید، اگر سرور شما از نسخه قبل از به‌روزرسانی پچ امنیتی مخصوص پردازنده اصلی ماه آوریل سال 2022 استفاده می‌کند و اگر روی سیستم خود هنوز نسخه‌های 15، 16، 17 یا 18 جاوا را دارید، باید سریع‌تر دست‌به‌کار شوید، چرا که مهاجمان می‌توانند بدون هیچ محافظتی از سد دفاعی سیستم شما عبور کنند. برای آنکه بیشتر با این موضوع آشنا شوید، باید بگوییم که تمامی دستگاه‌های مبتنی‌بر WebAuthn و FIDO در دنیای واقعی، از امضای ECDSA و بسیاری از ارائه‌دهندگان OIDC از JWTهای امضا شده با استفاده از ECDSA استفاده می‌کنند.

براساس اطلاعاتی که در حال حاضر از این آسیب‌پذیری در اختیار داریم، نسخه‌های 15 و جدیدتر جاوا تحت تاثیر این موضوع قرار می‌گیرند، اگرچه که اوراکل نسخه‌های 7، 8 و 11 را نیز به‌عنوان نسخه‌هایی که تحت تاثیر این آسیب‌پذیری قرار خواهند گرفت، لیست کرده است. با این حال، شرکت اوراکل از همه مشتریان خود خواسته است تا دستگاه‌های خود را به جدیدترین نسخه به‌روزرسانی کنند.