আরেকটি জাভা ফাংশন শোষিত হয়েছে, নিরাপত্তা গবেষকরা সতর্ক করেছেন

সিকিউরিটি ফার্ম ফায়ারাইয়ে'র গবেষকগণের মতে, অজ্ঞাত ও অবাঞ্ছিত জাভা ঝুঁকিপূর্ণতার জন্য একটি নতুন কাজে লাগানো হচ্ছে আক্রমণকারীদের দ্বারা ম্যালওয়ারের সাথে কম্পিউটার সংক্রামিত করার জন্য। জাভা v1.6 আপডেট 41 এবং জাভা v1.7 আপডেট 15 ইনস্টল আছে যে ব্রাউজার বিরুদ্ধে সফল শোষণ, "FireEye গবেষক Darien Kindlund এবং Yichong লিন বৃহস্পতিবার একটি ব্লগ পোস্টে।

FireEye দ্বারা বিশ্লেষণ হামলার মধ্যে, শোষণ হচ্ছে হচ্ছে ডাউনলোড এবং একটি দূরবর্তী অ্যাক্সেস সরঞ্জাম (RAT) MACRAT নামক ইনস্টল করতে ব্যবহৃত এই ধরণের ম্যালওয়ারটি প্রায়ই লক্ষ্যবস্তু হামলার ক্ষেত্রে ব্যবহার করা হয়, কিন্তু ফায়ারআইই লক্ষ্যবস্তুতে থাকা কোনও তথ্য প্রকাশ করে নি।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

শোষণের ট্র্যাফিকের একটি স্ক্রিন শট কোম্পানী দ্বারা প্রকাশিত ম্যালওয়ার একটি জাপানি ওয়েবসাইট থেকে একটি.jpg ফাইল হিসাবে ডাউনলোড করা হচ্ছে, যদিও এক্সটেনশন সম্ভবত জাল এবং একটি ডাইভারশন হিসাবে ব্যবহার করা হয়।

নতুন শোষণ খুব নির্ভরযোগ্য নয় কারণ এটি একটি বৃহৎ জাভা নিরাপত্তা সুরক্ষা নিষ্ক্রিয় করার জন্য মেমরি অংশ, FireEye গবেষক বলেন। এই কারণে, কিছু ক্ষেত্রে ম্যালওয়্যার ডাউনলোড সফলভাবে শোষণ করে, কিন্তু এটি চালানো ব্যর্থ হয় এবং একটি জাভা ভার্চুয়াল মেশিন (জেভিএম) ক্র্যাশে ফলাফল পাওয়া যায়।

অ্যান্টিভাইরাস বিক্রেতার নিরাপত্তা গবেষকরা নিশ্চিত করেছে যে জাভা 7 আপডেট 15, যা জাভারের সাম্প্রতিকতম সংস্করণ, কিন্তু বলেছে যে এটি জাভা 7 আপডেট 10 এর মত পুরোনো সংস্করণে ব্যর্থ। আক্রমণটি একটি লক্ষ্যবস্তু বলে মনে করা হয়, ক্যাসপারস্কির গ্লোবাল রিসার্চ এবং বিশ্লেষণের পরিচালক কোস্টিন রাইউ বলেন, কিন্তু তার ভাগ করার জন্য কোন অতিরিক্ত তথ্য ছিল না।

হামলা জাভা বগ-শিকারীদেরকে উৎসাহিত করে

এই শূন্য-দিন-এর পূর্বে-অজানা-জাভা-এর খবর শোষণ করেছে পোলিশ দুর্বলতা গবেষণা সংস্থা সিকিউরিটি এক্সপ্লোরেশনগুলি আবিষ্কারের পর এবং দুটি নতুন জাভা দুর্বলতা Oracle থেকে।

FireEye দ্বারা রিপোর্ট করা শোষণ একটি স্মৃতি দুর্নীতি দুর্বলতা লক্ষ্য করা হয় যে কি নিরাপত্তা এক্সপ্লোরেশন থেকে আলাদা, অ্যাডাম Gowdiak, সিকিউরিটি এক্সপ্লোরেশন প্রতিষ্ঠাতা, বলেন F রাউন্ডের মাধ্যমে ই-মেইলে।

"আমরা জাভাতে মেমরি দুর্নীতির দুর্বলতাগুলি [গবেষণার] এড়াতে চেষ্টা করি, যেহেতু তারা জাভা স্তরের বুদ্ধি হিসাবে শক্তিশালী নয়," গৌধাক বলেন। তিনি বলেন, গত এক বছরে সিকিউরিটি এক্সপোরেন্সের 55 জাভা নিরাপত্তা বিষয়গুলির মধ্যে একটিই ছিল মেমরি দুর্নীতির দুর্বলতা।

গৌধিক বিশ্বাস করেন যে টুইটার, ফেসবুক, অ্যাপল এবং মাইক্রোসফটের সাম্প্রতিক নিরাপত্তার ভ্রাম্যমাণের ফলে আক্রমণের ফলে হামলা হয় একটি ভিন্ন জাভা শূন্য দিন ব্যাবহার, আক্রমণকারী থেকে জাভা বাগগুলিতে অতিরিক্ত আগ্রহ সৃষ্টি করতে পারে।

"আমরা ওরেলকে বিজ্ঞাপিত করেছি এবং ওরিলে এই বন্য আবিষ্কারের সাথে কাজ চালিয়ে যাব," ফায়ারআই গবেষকেরা বলেন। "এই শোষণ সাম্প্রতিকতম জাভা 6u41 এবং জাভা 7u15 সংস্করণ প্রভাবিত করে, আমরা আপনার ব্রাউজারে জাভা নিষ্ক্রিয় না হওয়া পর্যন্ত প্যাচ মুক্তি না হওয়ার জন্য অনুরোধ করি; অন্যথায়, আপনার জাভা সুরক্ষা সেটিংস 'হাই' তে সেট করুন এবং বাইরে কোন অজানা জাভা অ্যাপলেট ব্যবহার করবেন না "

" এই দুর্বলতার জন্য প্যাচিং পরিকল্পনা সংক্রান্ত মন্তব্যের জন্য অবিলম্বে মন্তব্যের জন্য কোনও প্রতিক্রিয়া জানায়নি।

শূন্য দিনের শোষণের স্ট্রিং

এই বছরের তৃতীয়বার এই আক্রমণকারীরা শূন্য- দিন জাভা শোষণ আক্রমণের বর্ধিত ফ্রিকোয়েন্সি দ্বারা ওরাকলকে চার মাস থেকে দুই মাসের জন্য নির্ধারিত জাভা প্যাচগুলির মধ্যে সময় কমিয়ে দেয় এবং ব্রাউজারে জাভা অ্যাপলেটগুলির জন্য নিরাপত্তা নিয়ন্ত্রণগুলি ডিফল্টভাবে "হাই" করে দেয়।

টুইটারে জাভা ভিত্তিক আক্রমণের অনুসরণ, ফেইসবুক, অ্যাপল এবং মাইক্রোসফট ইঞ্জিনিয়ারদের আইওএস ডেভেলপারদের জন্য একটি আপোস সম্প্রদায়ের ফোরাম থেকে চালু করা হয়েছিল, ওরাকল তার প্যাচিং সাইকেল থেকে ফেব্রুয়ারি 1 এ জরুরি জরুরী আপডেট আপডেট করতে বের হয়েছিল।

জাভা জন্য পরবর্তী নিরাপত্তা আপডেট 16 এপ্রিল জন্য নির্ধারিত হয়, কিন্তু এটি সক্রিয় Oracle এই সক্রিয়ভাবে শোষিত দুর্বলতা ঠিক করার জন্য আবার জরুরী প্যাচ মুক্তি করতে বাধ্য করা হবে।