Critical Persistent Injection Vulnerability in Apple App Store and iTunes

දිගින් දිගටම වාර්ථා වන පරිගණක වර්නලබිලිටි වෙනුවට ඊයේ දිනයේදී ඇන්ඩ්‍රොයිස් ජංගම දුරකතන මෙහෙයුම් පද්ධතියේ ඇති වල්නරබිලිටියක් සොය ගැනුනා. ඒත් සමගම ලෝකයේ ඇති මිලියන 950ක් පමණ වූ අන්ඩ්‍රොයිඩ් ජංගම දුරකතන බලවත් අනතුරකට ලක්වුණා. අද මේ සටහන තබන්නේ තවත් වල්නරබිලිටියක සොයා ගැනීමක් සම්බන්ධවයි.

ඇපල් මෙහෙයුම් පද්ධතිය සහිත ජංගම දුරකථන සහ ලැප්ටොප් සියලටම භාවිතා වන Apple’s App Store සහ iTunes Store යන දෙකෙහි ඇති වල්නරබිලිටියක් සොයා ගැනුනා. ඒ අනුව ලෝකයේ මිලියන ගණනක් වන ඇපල් ෆෝන් සහ ලැප් බාවිතා කරන්නන් අනතුරක හෙළමින් සොයාගත් මෙම වල්නරබිලිටිය හෙවත් ඇපල් මෙහෙයුම් පද්ධතියේ පවතින දෝෂය උපයෝගී කරගෙන පහත ආකාරයේ හැක් කිරීම් සිදුකරන්න පුළුවන්.

• Session hijacking
• Persistent redirect to external sources
• Persistent phishing attacks
• Persistent manipulation of affected service module context

මෙහිදී ඇපල් උපාංගයේ name value (device cell name) වෙනස් කරමින් අදාළ උපාංග වෙත එක් එක් ආකාරයේ කේතයන් එක් කිරීමක් සිදුවෙනවා.

මේ වන විට Apple’s App Store පවතින බොහොමයක් මෘදුකාංග වල මෙම වල්නරබිලිටිය දැකගන්නට හැකි බව පැවසෙනවා. 

පරීක්ෂකයන් පවසන ආකාරයට මෙම වල්නරබිලිටියේ ක්‍රියාකාරීත්වය පහත ආකාරයෙන් දැකගන්න පුළුවන්.

1. Inject the malicious script code to your device cell name
2. Buy an article by using Apple iTunes or App Store
3. Select any App or Movie that you would like to Buy and Download
4. After the download is completed, an Invoice receives to your inbox
5. An application-side injected script code execution occurs in the arrived emails context next to the device-cell and type cell value parameters
6. Successful reproduce of the remote vulnerability
   

ඉතින් ඔබත් ඇපල් උපාංගයක් භාවිතා කරනවා නම් ඔබ ඉන්නේ අනතුරක. මෙයට තවම විසදුමක් නැති නිසා හැකි නම් Apple’s App Store හරහා කිසිදු ගණුදෙනුවක් භාගත කිරීමක් සිදුකරන්න එපා.


About the author
Eranda Dayawansa

Eranda Dayawansa is a Microsoft Certified ICT Instructor and Blogger from 2008 who loves all Things of Information Technology. He is also the chief editor at his blog – HelpITLanka which shares new exciting and informative discoveries found from surfing the net.

Read More

Google Loon - New Google Project

ගූගල් ලූන් (Google Loon) නමින් හැදින්වෙන අන්තර්ජාල පහසුකම් ලබාදෙන ව්‍යාපෘතියක් මේ වන විට ආරම්භ කර තිබෙනවා. මෙහි පෙර පරීක්ෂණයක් ස්වීට්සර්ලන්තයේදී සිදුකළත් මෙම ව්‍යාපෘතිය ක්‍රියාත්මක කරන පළමු රට වශයෙන් ශ්‍රී ලංකාව නම් කළ බව මීට සුළු මොහොතකට පෙර ගූගල් නිවේදනය කළා. ගූගල් සමාගමේ මයික් කැසිඩි  සදහන් කළේ ව්‍යාපෘතිය ක්‍රියාත්මක කෙරෙන ලෝකයේ පළමු රට බවට ශ්‍රී ලංකාව පත්වන බවයි. මෙම ව්‍යාපෘතියට මුලපුරන ලද්දේ ශ්‍රී ලංකාවේ ගූගල් විශේෂඥයෙකු වන චමත් පිළහාපිටිය මහතායි. කෙසේ නමුත් නුදුරේදීම අපට අන්තර්ජාලය සම්බන්ධයෙන් නව අත්දැකීමක් ලැබීමට හැකිවේවි.. 

අපි බලමු මොකද්ද මේ ගූගල් ලූන් (Google Loon) කියන්නේ කියලා. ඔබ දන්නවා අපි ජීවත් වන පෘතුවිය ගෝලාකාර බව. එම ගෝලාකාර බව සාධකයක් කරගෙන 20 වැනි ශතවර්ශයේ අවසානයේදී ශ්‍රී ලාංකික ආතර් සී ක්ලාක්ගේ සංකල්පයක් අනුව පෘතුවිය වටා ඉහළ අහසේ රැදවූ චන්ද්‍රිකා 3කින් මුළු ලෝකයම ආවරණය වන සන්නිවේදන ජාලයක් නිර්මාණය කළා මෙම ගූගල් ලූන් (Google Loon) ව්‍යාපෘතියත් එම සංසිද්ධිය පාදක කරගෙනයි ක්‍රියාත්මක් වන්නේ. පෘතුවි පෘශ්ඨයෙන් කිලෝමීටර 20 ක් එපිටට බැලූන් රැදවීමක් කරනවා. බැලූනය යා යුත්තේ කොතනකටදැයි යන්න තීරණය කිරීම සඳහා මෘදුකාංහ භාවිත කෙරේ.

 

මේ ආකාරයෙන් මුළු ලෝකයම ආවරණය වෙන ආකාරයෙන් බැලූන් ස්ථානගත වේවි. එම බැලූන් දෙකක් නිතරම එකිනෙකට සම්බන්ධ වන අතර ඒ හේතුවෙන් දැලක් ආකාර ජාලයක් නිර්මාණය වේ 

එසේම බැලුන් තට්ටු දෙකක් පහත රූපයේ ආකාරයෙන් ස්ථාපිත වන අතර එකිනෙකට විරුද්ධ දිශාවන් වෙත ඒවා ගමන් කිරීමේන් මුළු ලෝකයම ආවරණය වේ. 

මෙම බැලූන් හරහා විසුරුවා හරින දත්ත ලබා ගැනීම සදහා වෙනම ආධාරකයක් පරිශීලකයන්ට ලබාදේ.

ඒ හරහා ලැබෙන දත්තයන් රවුටරයක් ආධාරයෙන් අපට පරිහරණය කළ හැකි අන්තර්ජාලය නිර්මාණය සදහා භාවිතා වෙනවා. ඉතින් නුදුරේදීම මෙම තාක්ෂණික අත්දැකීම විදගැනීමට ලෝක වාසී සියලු දෙනාටම හැකිවන බව නම් විශ්වාසයි.










About the author
Eranda Dayawansa

Eranda Dayawansa is a Microsoft Certified ICT Instructor and Blogger from 2008 who loves all Things of Information Technology. He is also the chief editor at his blog – HelpITLanka which shares new exciting and informative discoveries found from surfing the net.

Read More

11 Security Mistakes You Probably Keep on Making

පරිගණකයක් භාවිතා කරනවා කියද්දි අද වෙනකොට කථා වෙන අළුත්ම දේ තමයි පරිගණක ආරක්ෂාව කියන එක. නමුත් ඔබ් පරිගණකයක් භාවිතා කරනවා නම් එය භාවිතයේදී යම් යම් ආරක්ෂිත ක්‍රමවේද අනුගමනය නොකරන්නේ නම් ඔබ ඉන්නේ බරපතල අනාරක්ෂිත තත්ත්වයක. හැක් කිරීම් වැනි දේ දිනෙන් දින වැඩි වෙන පරිසරයක අපට හැකියාව පවතිනවා ඉතාමත් සරළ දේවල් වලින් අපේ පරිගණකයත් අපේ දත්තත් ආරක්ෂා කරගන්න. ඔබ දන්න නමුත් ඔබ භාවිතා නොකරන නමුත් ඉතාමත් වැදගත් වන ආරක්ෂණ ක්‍රමවේදයන් කීපයක් ගැන අපි අවධානය යොමු කරමු.

1. Poor patching

මොනම මොහයුම් පද්ධතියක් නිර්මාණය කළත් එය සියයට සියයක්ම පරිපූර්ණ වන්නේ නෑ. එයට හේතු ගණනාවක් තියෙන්න පුළුවන්. කෙසේ වෙතත් අප භාවිතා කරන මෙහෙයුම් පද්ධතිය සියයට සියයක්ම ආරක්ෂිත නෑ. ඒ බව දන්නා එම මෙහෙයුම් පද්ධති නිර්මාණකරුවන් කාලෙන් කාලෙට එක එක අප්ඩේට්ස් ලබා දෙනවා. ඉතින් මේවා අපේ පරිගණකයට ස්ථාපිත කරගන්න එක අපෙ වගකීමක්,. ඉතින් පරිගණක භාවිතයේදී බොහෝ විට අපි නොකරනම දෙයක් තමයි මෙහෙයුම් පද්ධතිය අප්ඩේට් කිරීම. ඒක ඉතාමත් වැරදි ක්‍රියාවක්. ඉතින් මේ අප්ඩේට් මෙහෙයුම් පද්ධතියට පමණක් සීමා වෙන්නේ නෑ. අප භාවිතා කරන මෘදුකාංග වලටත් මේ අප්ඩේට් ලබාදෙනවා. ඩේට නාස්ති වෙනවා කියලා හිතලා අප්ඩේට් නොකර ඉන්නවා කියන්නේ හොරාට යතුරක් දීලා බලා ඉන්නවා වගේ වැඩක්. 

2. Too trustworthy

මිනිසාගේ තියෙන එක් ගුණාංගයක් තමයි ඕනෑවට වඩා ඕනෑම දෙයක් විශ්වාස කිරීම. එහි ප්‍රථිපලයක් ලෙසින් අපි අන්තර්ජාලය හා පරිගණකය විශ්වාස කරනවා. හොයලා බලන්නේ නැතිව අපිට එන හැම ඊමේල් එකක්ම කියවන්න යනවා. ඒවායේ තියෙන හැම ලිංක් එකක්ම ක්ලික් කරලා බලනවා. අන්තිමට අපි අමාරුවේ වැටිලා. ඇයි අපි අන්තර්ජාලය විශ්වාස කරපු නිසා. ඉතින් අන්තර්ජාලය කියන්නේ විශ්වාසය තියාගන්න පුළුවන් හොද තැනක් නොවේ. නිතරම හැම දෙ ගැන සැකෙන් බලන්න. ඊමේල් එකක් ආවත් අපිට අදාළ නම් විතරක් ඕපන් කරලා බලන්න. නැත්නම් මකලා දාන්න. 

3. Reusing passwords

මුරපද... දැනට ලෝකයේ තියෙන බයානකම දේ. තමන්ගේ හැම දෙයක්ම පරිගණකයේ දාලා ඔන්න ඒකට දානවා 123, abc@123 වගේ අනාරක්ෂිත මුරපදයක්. එහෙම නැතිනම් පාස්වර්ඩ් එක ලියලා ලැප් එක යටින් කීබෝඩ් එක යටින් තියාගන්නවා එහෙම නැත්නම් කොලේක් ලියලා පර්ස් එකේ දාගන්නවා. මං දැකලා තියෙනවා ගොඩක් අය ටෙලර් මැෂින් එකෙන් සල්ලි ගන්න ගියාම පර්ස් එකෙන් කාර්ඩ් එකයි පොඩි කොලේකු ගන්නවා. එ කොලේ මොකටද?  ඒකේ තමයි අර පින් නම්බර් එක එහෙම නැත්නම් පාස්වර්ඩ් එක තියෙන්නේ. ඉතින් පර්ස් එකම ඉස්සුව නම් කාඩ් එකත් තියෙනවා අංකෙත් තියෙනවා. මං මේ ඉතාමත් සරල දෙයක් කිව්වේ ප්‍රායෝගිකව අපි හැමෝම කරන. ඒවා කරන්න එපා. අනික මුරපදයක් දාද්දි හොදට අකුරු ඉලක්කම් සංකේත එක්ක ශක්තිමත් මුරපදයක් දාන්න. එකම පාස්වර්ඩ් එක හැම දේටම භාවිතා කරන්න එපා. ෆේස්බුක් එකටයි ජීමේල් එකටයි ඔක්කොටොම එකම මුරපදය නම් ඒකේ ආරක්ෂිත බවක් තියෙනවද? 

4. Oversharing on social media

අද් ලෝකය ගත්තොත් සමාජ ජාල බොහොමයක් තියෙනවා. Twitter, Facebook, Instagram වගේම  WhatsApp, Viber  වගේ දේවලුත් ඕනෑ තරම්. නමුත් මේ හැම එකකක්ම ඔබේ විස්තර පළ කරන්න ඒවා ෂෙයාර් කරන්න යන්න එපා. වර්තමානයේ තරුණ පරම්පරාව එය විලාසිතාවක් කරගත්තත් හැකර් කෙනෙකුට එය ඉතාමත් වටිනා දත්ත. සරලවම කියනවා නම් තමගේ පෞද්ගලික ජීවිතේ හැමදේම ෆේස්බුක් වල ටුවිටර් වල දාන්න එපා. ෆේස්බුක් කියන්නේ අපේ ජීවිතෙ නෙවෙයි. බොහොමයක් සයිබර් අපරාධ වලට නිමිත්ත වෙන්නේ ෆේස්බුක්. ඒහරහා එන තෙවන පාර්ශවීය මෘදුකාංග ගේම්ස් වැනි දේවල් වලින් ඔබේ දත්ත ඔබ නොදැනුවත්වම වෙනත් අය අතට යන බව ඔබ දන්නවද? 

5. No security solutions

පරිගණකයක් තියෙනවා. අඩුම ගානේ වෛරස් ගාර්ඩ් එකක් වත් නෑ. තින් අපි ආරක්ෂිතද සෑම තප්පර 17කට වරක්ම ලෝකයේ පරිගණක  වෛරසයක් නිර්මාණය වෙනවා ඉතින් එතරම් විශාල පරිගණක වෛරස් ප්‍රමාණයෙන් එකක් දෙකක් අපේ අනාරක්ෂිත පරිගණකයටත් නොඒවී  කියලා කාටද කියන්න පුළුවන් ඒ නිසා  ප්‍රතිවෛරස් මෘදුකාංගයක් භාවිතා  කිරීම අනිවාර්යයයි 

6. ‘It won’t happen to me’

මගේ යාලූවගේ ලැප් එකට වෛරස් එකක් ආවනේ ඒත් අවුලක් නෑ මට නම් එහෙම වෙන්නේ නෑ මේවගේ දේවල් අපි අහලා තියෙනවා නමුත් කාටද කියන්න පුළුවන් අද යාලූවට වුණ දේ හෙට තමන්ට නොවෙයි කියලා අධිවිශ්වාසයෙන් ඉන්න එපා පරිගණක ලෝකය අන්තර්ජාලය ඒ තරමටම අනාරක්ෂිත තැනක් ඒ නිසා නිතරම යමක් වේ යැයි අවධානයෙන් ඉන්න දෙයක් වුණාට පස්සේ අඩලා වැඩක් නෑ 

7. Leaving devices unattended

මෙහෙයුම් පද්ධතිය මගින් පරිගණකය හෝ ලැප් එක ලොක් කිරීමේ පහසුමක් ලබාදී ඇත්තේ ඇයි අපි වැඩ කරන සෑම විටම අපිට පරිගණකය අසල රැදෙන්න සිදුවෙන්නේ නෑ ඉන් පිටතට යන සෑම අවස්ථාවකම ආරක්ෂාව පතා ඔබ පරිගණකයත් රැගෙන යා යුතුද නෑ ඒ වෙනුවෙනුයි පරිගණකය ලොක් කිරිමේ පහසුකම සලසා  දෙන්නේ කිසිදු අවස්ථාවක windows කී එක සහ L කී එක අමතක කරන්න එපා 

8. Browsing on unsecured connections

අනාරක්ෂිතයි හැගෙන කිසිදු වයිෆයි ජාලයකට හෝ පරිගණක ජාලයකට ඔබේ ලැප් එක ටැබ් එක සම්බන්ධ කරන්න එපා බොහොමයක් නොමිලේ දෙන වයිෆයි ජාල ඉතාමත් අනාරක්ෂිතය ඒ වගේම වෙබ් අඩවියකට පිවිසෙද්දි එහි ලිපිනය ආරම්භ වෙන්නේ http:// ලෙසින්ද https://  ලෙසින්දැයි හොදින් බලන්න අන්තර්ජාලය හරහ  ගනුදෙනු කරනව නම් මෙය අනිවාර්යයෙන් බැලිය යුතුයි 

9. Ignoring SSL certificate warnings

වෙබ් අවඩියකට අදාළව SSL සහතික කිරීම් ඔබ භාවිත කරන බ්‍රවුසරයෙන් පෙන්නුම් කරනවා ඔබ පිවිසෙන යම් වෙබ් අඩවියක මෙම සහතිකය ගැටලූ සහගත නම් එය අනාරක්ෂිත බව දක්වා බ්‍රවුසරය අනතුරු ඇගවීමේ නිවේදන ලබා දෙනවා නමුත් කණගාටුවට කරුණ වන්නේ සියයට 70 වැඩි බොහොමයක් දෙනා අනාරක්ෂිත වුවත් එම වෙබ් අඩවි වලට පිවිසීමයි 

10. Downloading apps from third-parties

අපි මෘදුකාංගයක් ඩවුන්ලෝඩ් කරනවා නම් ඒවා ආරක්ෂිත වෙඩ් අඩවියකින් ඩවුන්ලෝඩ් කරගන්න කිසිදු අවස්ථාවක ටොර්න්ට් අඩවි වලින් ඩවුන්ලෝඩ් කරන මෘදුකාංග හෝ ෆයිල් වෛරස් පරීක්ෂාවකින් තොරව භාවිතා කරන්න එපා 

11. Rooting/Jailbreaking mobile devices

මචං මං ෆෝන් එක රූට් කළා බං දැන් නියමෙට වැඩ මේ වචන ලෝකයට ආවේ ස්මාර්ට් ෆෝන් තාක්ෂණය දියුණු  වීමත් සමගයි අදාළ දුරකථන මෙහෙයුම් පද්ධතියෙන් ලබාදෙන පහසුකම් වලට වැඩියෙන් පහසුකම්  ලබා ගැනීම සදහා මෙහෙයුම් පද්ධතියේ ඉතාමත් සංකීර්ණ වැදගත් කේත කොටස් වෙනස් කිරීමයි මෙ රූට් කිරීම හෝ ජේල්බ්‍රේක් කිරීම කියලා හදුන්වන්නේ නමුත් එයින් සිදුවන්නේ අපි නොදන්නා අනාරක්ෂිත බවක් ඔබගේ ජංගම දුරකතනයට එක්වීම ඉතින් මෙවන් දේ කිරීමට පෙළඛෙන්න එපා  

About the author
Eranda Dayawansa

Eranda Dayawansa is a Microsoft Certified ICT Instructor and Blogger from 2008 who loves all Things of Information Technology. He is also the chief editor at his blog – HelpITLanka which shares new exciting and informative discoveries found from surfing the net.

Read More

RCSAndroid — Advanced Android Hacking Tool Leaked Online

ගෙවුණු සති කීපය පුරාම අන්තර්ජාලයේ දක්නට හැකිවුණේ ඉතාලියානු Hacking Team ආයතනය හැක් කිරීමෙන් හැකර්වරුන් ලබාගත් ගිගාබයිට් 400 දත්ත වලින් කොටසින්  කොටස එක් එක් ආකාරයෙන් ලොව තැනින් තැනින් කරලියට පිවිසීමයි.

එහි නවතව තත්වය වන්නේ ඉතාමත් අන්තරායකර වන අන්ඩ්‍රොයිඩ් මොබයිල් මෙහෙයුම් පද්ධතිය හැක් කිරීමට භාවිතා කරන RCSAndroid (Remote Control System Android) නම් වූ මෘදුකාංගය අන්තර්ජාලය පුරා දක්නට ලැබීමයි.

මෙම මෘදුකාංගය මගින් ඇන්ඩ්‍රොයිඩ් මෙහෙයුම් පද්ධතිය හරහා ඔබගේ ජංගම දුරකථනය රිමෝට් ආකාරයෙන් හැකර් කෙනෙකුට පරිහරණය කළ හැකි අතර එහිදී පහත සදහන් දේ ඔබ නොදැනුවත්වම මෘදුකාංගය හරහා සිදු කෙරේ.

• Capture screenshots using the 'screencap' command and framebuffer direct reading
• Collect passwords for Wi-Fi networks and online accounts, including WhatsApp, Facebook, Twitter, Google, Skype, and LinkedIn
• Collect SMS, MMS, and Gmail messages
• Capture real-time voice calls in any network or application by hooking into the 'mediaserver' system service
• Capture photos using the front and back cameras
• Monitor clipboard content
• Record using the microphone
• Record location
• Gather device information
• Collect contacts and decode messages from IM accounts, including WhatsApp, Telegram, Facebook Messenger, Skype, WeChat, Viber, Line, Hangouts, and BlackBerry Messenger.

මේ සියල්ලම සිදු කරන්නේ ඇන්ඩ්‍රොයිඩ් 4.0 අයිස්ක්‍රීම් සහ 4.3 ජෙලිබීන් මෙහෙයුම් පද්ධතිවල ඇති CVE-2012-2825 සහ  CVE-2012-287 යන වල්නරබිලිටි දෙක උපයෝගී කරගෙනයි.  මේ සටහන තබන මොහොත වන විටත් ඔබගේත් මගේත් ජංගම දුරකථන ඇත්තේ ඉතාමත් අනාරක්ෂිත තත්ත්වයක..  ඒ වගේම මීට තවමත් ඇන්ඩ්‍රොයිඩ් ආයතනය විසදුමක් සොයාගෙන නැහැ. 

.

About the author
Eranda Dayawansa

Eranda Dayawansa is a Microsoft Certified ICT Instructor and Blogger from 2008 who loves all Things of Information Technology. He is also the chief editor at his blog – HelpITLanka which shares new exciting and informative discoveries found from surfing the net.

Read More

Microsoft releases Emergency Patch Update for all versions of Windows

CVE-2015-2426 ලෙසින් නම් කර ඇති Remote Code Execution වල්නරබිලිටිය හරහා ප්‍රභල හැකින් ප්‍රහාරයන් එල්ල විය හැකි බැවින් මයික්‍රොසොෆ්ට් ඊයේ ඉතාමත් වැදගත් යාවත්කාල කිරීම කීපයක්ම නිකුත් කළා. 

දැනට මයික්‍රොසොෆ්ට් සහය දක්වන සියලුම මෙහෙයුම් වන Windows Vista, Windows 7, 8, 8.1 සහ Windows RT පද්ධති වල මෙන්ම Windows Server 2008 සහ මෑතක නිකුත් වූ නවතම සර්වර් මෙහෙයුම් පද්ධති වල සහ වින්ඩෝස් 10 සංස්කරණයේද මෙම දුර්වලතාව පවතින බැවින් හැකි ඉක්මනින් අදාළ යාවත්කාල කිරීම් කරගන්නා ලෙසයි පරිශීලකයන්ට දැනුම් දෙන්නේ.

මෙහිදී ඇති අනතුර වන්නේ වින්ඩෝස් XP සදහා මයික්‍රොසොෆ්ට් සහාය නොදක්වන බැවින් ඒ සදහා අදාළ කිසිදු යාවත්කාල කිරීමක් නිකුත් නොවීමයි. ඔබ මේ වන විටත් වින්ඩෝස් XP භාවිතා කරන්නේ නම් ඔබ ඉන්නේ ඉතාමත් අනාරක්ෂිත තත්වයක. 

ඉතින් මෙහිදී හැකි ඉක්මනින් ඔබගේ යාවත්කාල කිරීම් ලබා ගන්න උත්සාහා කරන්න. වින්ඩෝස් XP භාවිතා කරනවා නම් මගේ නිර්දේශය හැකි ඉක්මනින් වෙනත් මෙහෙයුම් පද්ධතියකට මාරු වෙන්න කියන එකයි. 

අදාළ යාවත්කාල කිරීම පහත සබැදියෙන් භාගත කරගත හැකියි... 

https://technet.microsoft.com/library/security/MS15-078

About the author
Eranda Dayawansa

Eranda Dayawansa is a Microsoft Certified ICT Instructor and Blogger from 2008 who loves all Things of Information Technology. He is also the chief editor at his blog – HelpITLanka which shares new exciting and informative discoveries found from surfing the net.

Read More

Windows 10 - Cant Disable Automatic Updates

එළැබෙන 29 වැනිදා එළිදැක්වීමට නියමිතව ඇති මයික්‍රොසොෆ්ට් ආයතනයේ නවතම මෙහෙයුම් පද්ධතිය වන වින්ඩෝස් 10 සංස්කරණයේදී ඔබ කැමති වුවද අකමැති වුවද මයික්‍රොසොෆ්ට් වෙතින් ලබාදෙන යාවත්කාල කිරීම් වලට අදාළ සැකසුම් වෙනස් කිරීමේ හැකියාවක් නොමැති බව මයිකොසොෆ්ට් ප්‍රකශකයෙක් කියා සිටියා.

මෙය අදාළ වන්නේ වින්ඩෝස් 10 හෝම් සංස්කරණය සදහා පමණක් වන අතර එහිදි වින්ඩෝස් වල පවතින වින්ඩෝස් අප්ඩේට් පහසුකම ඉවත් කර සියල්ලම ඔබේම සිදුවන ආකාරයෙන් සකසා ඇත.

 එහිදී අදාළ යාවත්කාල විම් ඉබේම පරිගණකයට ස්ථාපිත වන අතර වින්ඩෝස් 8.1 වල පහතින් දක්වා ඇති පහසුකම් සියල්ල වින්ඩෝස් 10 වලදී අහිමි වෙනවා.

• Download and Install Windows Updates Automatically
• Download Windows Updates automatically but Choose when to Install them
• Check for Updates but Choose when to Download and Install them
• Never check for, Download, or Install Updates

ආරක්ෂක හේතුන් මත මෙම පියවර ගෙන ඇති අතර වින්ඩෝස් වින්ඩෝස් 10 වලදී ඉහත සැකසුම් පහත ආකාරයෙන් බලගත හැකියි. පියවර දෙකින් එකක් අපට තෝරගත හැකි වේ.

• Check, Download, Install, and Reboot automatically
• Check, Download, Install automatically and then choose to Reboot

ඔන්න ඉතින් අපි අකමැති වුණත් කරන්න දෙයක් නෑ වින්ඩෝස් 10 හෝම් එඩිෂන් එකක් භාවිතා කරන්න වෙනවනම් හොද අන්තර්ජාල සබදතාවකුත් තියෙන්න ඕනෑ. 

About the author
Eranda Dayawansa

Eranda Dayawansa is a Microsoft Certified ICT Instructor and Blogger from 2008 who loves all Things of Information Technology. He is also the chief editor at his blog – HelpITLanka which shares new exciting and informative discoveries found from surfing the net.

Read More

Disable Java in your browsers - new Java based Zero-day Exploit

ගෙවුණ සතිය පරිගණක සහ තාක්ෂණ ලෝකයට එතරම් සුභ වුණේ නෑ. ඒකට හේතුව වුණේ ලෝකයේ තැනින් තැනින් විවිධාකාරයේ හැක් කිරීම් සිදු වීම වැඩි වූ නිසයි. මෘදුකාංග වල පවතින තාක්ෂණික දෝෂ එසේත් නැතිනම් වර්නලබිලිටීස් භාවිතා කරමින් සිදු කරන ලද මේ හැක් කිරීම් වලට ෆ්ලෑස් ප්ලේයරය සහ ඕපන් SSL තාක්ෂණික යෙදවුම් හසුවී තිබුණා. ඒ අනතුරුදායක තත්වය පහවයමින් තිබියදීම ලෝකයේ වැඩිමනක් භාවිතා වන ජාවා මෘදුකාංගයේ පවතින වර්නලබිලිටි එකක් හරහා Zero-day ආකාරයේ හැක් වීම් මේ වන විට ලෝකය පුරා සිදුවෙමින් පවතිනවා.

ට්‍රෙන්ඩ් මැක්‍රෝ (Trend Micro) පරිගණක ප්‍රතිවෛරස් නිර්මාණය කරන සමාගම මෙම වර්නලබිලිටිය සොයාගැනීමත් සමග සන් ජාවා වයාපෘතිය ඒ සදහා පැච් නිර්මාණය ආරම්භ කළත් මේ සටහන තබන මොහොත වන විටත් ඒ වෙනුවෙන් සාර්ථක පැච් එකක් නිෂ්පාදනය වී නොමැති බවයි දැනගන්නට ඇත්තේ.

වසර තුනක් පමණ පැරණි CVE-2012-015 ලෙසින් නම් කර ඇති මයික්‍රොසොෆ්ට් වර්නලබිලිටියක් මේ බග් එක හරහා නැවත ක්‍රියාත්මක වීමක්ද සිදු වෙනවා. 

මේ වන විට NATO සංවිධානයට අයත් රටවල් වල සහ US Defense වෙත මෙම ජාවා වර්නලබිලිටිය භාවිතා කරමින් හැකින් ප්‍රහාර එල්ල වෙමින් පවතිනවා. මෙම වර්නලබිලිටිය එසේ නැති නම් බග් එක ඇත්තේ ජාවා වැඩසටහනේ නවතම සංස්කරණය වන 1.8.0.45 වන අතර 1.6 සංස්කරණයේ සහ 1.7 සංස්කරණයේ මෙම බග් එක නොමැති බැවින් එම සංස්කරණයන් ස්ථාපිත කර ඇති පරිගණක මෙම හැකින් ප්‍රහාරයෙන් ආරක්ෂිත බවද සන් ජාවා වයාපෘතිය සිය වෙබ් අඩවියේ දක්වයි.

පැච් එකක් නිකුත් කරනතුරු තාවකාලිකව ජාවා වැඩසටහන ඔබගේ ඉන්ටර්නෙට් එක්ස්ප්ලෝරා වැඩසටහනින් අක්‍රීය කර තබන ලෙස ඔරකල් ආයතනයේ සන් ජාවා වයාපෘතිය වැඩිදුරටත් සදහන් කරයි.


About the author
Eranda Dayawansa

Eranda Dayawansa is a Microsoft Certified ICT Instructor and Blogger from 2008 who loves all Things of Information Technology. He is also the chief editor at his blog – HelpITLanka which shares new exciting and informative discoveries found from surfing the net.

Read More

Spreading Android Malware...!!

Google Play Store හරහා බාගත කරගන්නා වූ ඇන්ඩ්‍රොයිඩ් මෙහෙයුම් පද්ධතියේ භාවිතා වන "Cowboy Adventure" සහ "Jump Chess" යන මෙබයිල් ගේම් දෙක හරහා මේ වන විට ෆේස්බුක් ගිණුම් වලට අදාළ දත්ත Facebook-Credentials සොරා ගැනීමක් සිදුවෙමින් පවතින බව ESET පරිගණක ආරක්ෂණ මෘදුකාංග නිර්මාණය කරන ආයතනය පවසයි.

malicious Facebook-Credentials-Stealing Trojan ලෙසින් නම් කර ඇති මෙම ට්‍රෙජන් ආකාරයේ වෛරසය මේ වන විට "Cowboy Adventure" සහ "Jump Chess" යන මෙබයිල් ගේම් දෙක භාවිතා කරන ඇන්ඩ්‍රොයිඩ්  දුරකතන මිලියනකට අධික සංඛාවකට පැතිරී පවතින බවද වාර්තා කරයි. 

 "Cowboy Adventure" සහ "Jump Chess"  ගේම් ජංගම දුරකතනයට ස්ථාපිත වූ සැනින් හෝ ඔබ එයට පිවිසි සැනින් වැරදි ෆේස්බුක් ලොගින් පිටුවකට ඔබ ගෙන යන අතර (පොදුවේ මෙවැන්නක් ෆිෂින් යන නමින් හැදින්වේ.) එහිදී ඔබ විසින් ඇතුළත් කරන ඔබගේ පිවිසුම් නාමයන් සහ මුරපද සියල්ලම එම ගේම් හරහා අදාළ හැකර්වරුන් අතට පත්වේ. 

දැනටමත් ඔබ මේ ගේම් දෙකින් එකක් ඔබගේ ජංගම දුරකතනයේ ස්ථාපිත කරගෙන ඇති නම් 

1. හැකි ඉක්මනින් එය ඉවත් කරන්න 
2. ඔබගේ ෆේස්බුක් මුරපද හැකි ඉක්මනින් මාරු කරන්න 
3. vast, AVG, ESET, Kaspersky හෝ  Bitdefender වැනි මෘදුකංගයකින් ඔබේ ජංගම දුරකතනය පරීක්ෂා කරගන්න. 

About the author
Eranda Dayawansa

Eranda Dayawansa is a Microsoft Certified ICT Instructor and Blogger from 2008 who loves all Things of Information Technology. He is also the chief editor at his blog – HelpITLanka which shares new exciting and informative discoveries found from surfing the net.

Read More

OpenSSL Vulnerability - (CVE-2015-1793)

Vulnerability එකක් කියන්නේ මෘදුකාංගයක තියෙන රිංගන්න පුළුවන් හිදැසක් එහෙම නැතිනම් මෘදුකාංගයක පවතින දුර්වලතාවයක්. OpenSSL වල ඇති මේ වගේ Vulnerability එකක් හරහා OpenSSL බාවිතා කරන පරිගණක ජාල වලට රිංගීමේ උත්සාහයක් හැකර්වරුන් කළ නිසා OpenSSL වයාපෘතිය විසින් ඒ සදහා විසදුමක් ලෙස OpenSSL වල නව සංස්කරණයන් දෙකක් ඊයේ ඉදිරිපත් කළා.

1.0.2d සහ 1.0.1n එම සංස්කරණයන් දෙකයි. ඒවා පහත දැක්වෙන ලිංකුවෙන් භාගත කර ගත හැකියි.

https://www.openssl.org/source/

මෙම OpenSSL Vulnerability එක හරහා හැකර් කෙනෙකුට man-in-the-middle ආකාරයේ හැක් කිරීමක් වෙබ් අඩවි වලට VPN ආකාරයේ ජාල වලට සහ ඊමේල් සර්වර්ස් වලට සිදු කිරීමේ හැකියාව පවතිනවා.


මෙම Vulnerability එක හදුන්වන්නේ (CVE-2015-1793) ලෙසයි. ඒ මගින් Transport Layer Security (TLS) සහ Secure Sockets Layer (SSL) වල ඇති සන්නිවේදන මූලෝපායන් මෙන්ම ආරක්ෂිත ක්‍රමවේදයන් බිදදැමීමක් සිදු කරනවා. 

About the author
Eranda Dayawansa

Eranda Dayawansa is a Microsoft Certified ICT Instructor and Blogger from 2008 who loves all Things of Information Technology. He is also the chief editor at his blog – HelpITLanka which shares new exciting and informative discoveries found from surfing the net.

Read More