লক্ষ্যহীন আক্রমণগুলির মধ্যে ছড়িয়ে থাকা জাভা ঝুঁকিপূর্ণতা, গবেষকরা বলছেন যে

আক্রমণকারীরা একটি নতুন এবং অবাঞ্ছিত দুর্বলতা শোষণ করছে যা জাভা এর সর্বশেষ সংস্করণকে প্রভাবিত করে - জাভা 7 আপডেট 6 - ম্যালওয়ারের সাথে সংক্রামিত করার জন্য, গবেষকরা নিরাপত্তা বিক্রেতা ফায়ারাইয়ে থেকে।

এখনো পর্যন্ত, সীমিত লক্ষ্যবস্তু আক্রমণে দুর্বলতা শোষিত হয়েছে, ফায়ারই'র সিনিয়র স্টাফ বিজ্ঞানী আতিফ মোস্তাক রবিবার এক ব্লগ পোস্টে বলেছেন। "বেশিরভাগ সাম্প্রতিক জাভা রান-টাইম এনভায়রনমেন্টের অর্থ হল, জেরা 1.7x দুর্বল।"

শোষণ একটি ওয়েবসাইটের আয়োজন করা হয় যা চীনে একটি ইন্টারনেট প্রটোকল ঠিকানাকে সংশোধন করে এবং তার প্লেলোড ম্যালওয়ারের একটি অংশ যা একটি কমান্ড এবং কন্ট্রোল সার্ভার সিঙ্গাপুরে অবস্থিত।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার মুছে ফেলার পদ্ধতি]

দেখা যায় যে এই হামলার মধ্যে ইনস্টল করা ম্যালওয়ারটি এখন বিষাক্ত আইভি এর একটি রূপ বলে মনে হচ্ছে, একজন গবেষক, Jaime Blasco নিরাপত্তা ফোরাম এলেন ভোল্টের সাথে, সোমবার, একটি ব্লগ পোস্টে।

বিষাক্ত আইভি একটি তথাকথিত দূরবর্তী প্রশাসন ট্রোজান প্রোগ্রাম যা অতীতের অনেক সাইবারপ্রক্রিয়া প্রচারের কাজে ব্যবহার করা হয়েছে।

এটি প্রমাণের সময় কেবল সময়ের ব্যাপার মোঃ মুস্তাক বলেন, "আমরা জাভা 7 আপডেট 6 দিন 1.7.0_06-এর উপর নির্ভর করে 0 দিনের [অসমাপ্ত] দুর্বলতা নিশ্চিত করেছি। উইন্ডোজ এর জন্য b24, "কারস্টেন ইরাম, দুর্বলতার ব্যবস্থাপক প্রধান নিরাপত্তা বিশেষজ্ঞ সোমবার সোমবার ই-মেইল জানিয়েছে, "এটি অন্যান্য সংস্করণ এবং প্ল্যাটফর্মেও প্রভাব ফেলতে পারে।"

সেকুনিয়ায় দুর্বলতাটি অত্যন্ত সমালোচনামূলক বলে মনে করে কারণ এটি ব্যবহারকারীর মিথষ্ক্রিয়া ব্যতীত অসাংবিধানিক সিস্টেমে নির্বিচারে কোড চালানোর অনুমতি দেয়।

"এই দুর্বলতাটি 'মেমরির দুর্নীতি নয়' টাইপ দুর্বলতা, কিন্তু পরিবর্তে ব্যবহারকারীর ইন্টারঅ্যাকশন ছাড়া স্যান্ডবক্স বাইরে অবিশ্বস্ত কোড চালানোর অনুমতি দেয় যে একটি নিরাপত্তা বাইপাস সমস্যা বলে মনে হয়, "ইরাম বলেন। "এই নির্দিষ্ট ক্ষেত্রে একটি ফাইল ডাউনলোড করা এবং ব্যবহারকারীর সিস্টেমে সঞ্চালিত হয় যখন একটি ওয়েব পেজটি একটি দূষিত অ্যাপলেটের হোস্টিংয়ের সময় পরিদর্শন করে।"

নিরাপত্তা পরামর্শদাতা ফার্ম অ্যাকুউভ্যান্টের একটি নিরাপত্তা গবেষণা বিজ্ঞানী জোশুয়া ড্রেকে একটি প্রুফ অফ-ধারণা প্রকাশ করে সোমবার দুর্বলতা জন্য কাজে লাগান। তার পোওসি কোডটি তখন জনপ্রিয় Metasploit অনুপ্রবেশ পরীক্ষার কাঠামোর সাথে ব্যবহার করার জন্য আরেকটি কাজে লাগানোর জন্য ব্যবহৃত হয়।

দুর্বলতার জন্য একটি প্রমাণ-ধারণাটি সোমবার অনলাইনে প্রকাশ করা হয় এবং তারপর এটি ব্যবহার করার জন্য আরেকটি শোষণ তৈরি করতে ব্যবহৃত হয়। জনপ্রিয় Metasploit অনুপ্রবেশ পরীক্ষা কাঠামো।

একটি Metasploit ব্যবহারকারী এছাড়াও ম্যাক OS X 10.7.4 Safari সংস্করণ 6.0 এবং 7 জা 7 আপডেট সঙ্গে সফলভাবে শোষণ রিপোর্ট।

জুলাই ব্ল্যাক Hat নিরাপত্তা সম্মেলনে, নিরাপত্তা গবেষকরা সতর্ক যে জাভা ঝুঁকিগুলি ক্রমবর্ধমান আক্রমণকারীদের দ্বারা লক্ষ্যবস্তু হয় এবং নতুন জাভা ঝুঁকির জন্য যে শোষণ করে তা আগে আগেকার চেয়ে দ্রুত আক্রমণ সরঞ্জামকিতে একত্রিত করা হয়।

"জাভার ব্যাপক ব্যবহার এটি একটি আকর্ষণীয় লক্ষ্য করে," ইরাম বলেছে। "যাইহোক, জাভা একটি শোষণ পয়েন্ট-টু-ভিউ থেকে আকর্ষণীয় কেন অন্য একটি প্রধান কারণ হল এটি নির্দিষ্ট বাইপাস প্রকার দুর্বলতা দ্বারা প্রভাবিত (এটি একের মত); এইগুলি সহজেই নির্ভরযোগ্যভাবে বিভিন্ন সংস্করণ এবং প্ল্যাটফর্মে পারফরম্যান্স তৈরি না করে বিভিন্ন নিরাপত্তা ব্যবস্থা যেমন উইন্ডোতে ASLR এবং ডিইপি সম্পর্কে চিন্তা করুন। "

এই অস্পষ্টতা জন্য ওরাকল একটি প্যাচ মুক্তি যখন এটা স্পষ্ট নয়। কোম্পানির মন্তব্যের জন্য অবিলম্বে প্রতিক্রিয়া জানানো হয়নি।

ইতিমধ্যে ব্যবহারকারীদের নিজেদেরকে রক্ষা করার জন্য খুব কম সংখ্যক বিকল্প রয়েছে। "আমরা জাভা নিষ্ক্রিয় / আনইনস্টল ছাড়াও কোনও ফিক্স বা ওয়ার্কারউন্ড সম্পর্কে অবগত নই" ইরাম বলেন।

যাইহোক, জাভা আনইনস্টল বা নিষ্ক্রিয় করা বেশিরভাগ কোম্পানি এবং ব্যবহারকারীদের জন্য একটি গ্রহণযোগ্য সমাধান নয় যে জাভা ভিত্তিক ওয়েব অ্যাপ্লিকেশনগুলি তাদের দৈনন্দিন ব্যবসা পরিচালনা করতে পারে।