नया जावा शोषण काले वेब पर $ 5000 के लिए बेचता है; लाखों पीसी के लिए संभावित खतरा

ओरेकल के लिए, यह फिर से डीजा वी है।

बस दिन पिछले हफ्ते अपनी जावा प्रोग्रामिंग भाषा में एक गंभीर सुरक्षा दोष के लिए एक पैच जारी करने के बाद, सॉफ्टवेयर फिर से हेडलाइंस बना रहा है क्योंकि कार्यक्रम में एक और पहले गैर-सार्वजनिककृत दोष लाखों पीसी की सुरक्षा को धमकाता है, जिन पर अभी भी एप्लिकेशन चल रहा है।

ओरेकल ने जावा दोष के लिए रविवार को एक फिक्स जारी किया ताकि इतनी गंभीर हो कि अमेरिकी गृह विभाग ने सुरक्षा की सिफारिश की है कि कंप्यूटर उपयोगकर्ता सॉफ़्टवेयर को तब तक अक्षम कर दें जब तक कि इसका उपयोग न हो "बिल्कुल आवश्यक"।

[आगे पढ़ें: मैलवेयर को कैसे हटाएं विंडोज पीसी]

पैच को उपयोगकर्ताओं के लिए उपलब्ध कराने के बाद भी उस सलाह को सोमवार को विभाग की कंप्यूटर आपातकालीन तैयारी टीम (यूएस-सीईआरटी) द्वारा दोहराया गया था।

बिक्री के लिए भेद्यता

अब यह बीई है एनजी ने बताया कि एक एंटरप्राइजिंग ब्लैक हैट जावा के नवीनतम संस्करण (संस्करण 7, अपडेट 11) के लिए एक नए शून्य दिवस भेद्यता को $ 5000 प्रत्येक के लिए दो खरीदारों तक ले जा रहा है।

भेद्यता के दोनों हथियार और स्रोत कोड संस्करण सुरक्षा ब्लॉगर ब्रायन क्रेब्स के मुताबिक विक्रेता द्वारा पेश किया गया, जिन्होंने एक विशेष साइबर क्राइम फोरम पर प्रस्ताव की खोज की।

चूंकि क्रेब्स ने प्रस्ताव की खोज की, इसलिए उन्होंने अपराध मंच से हटा दिया है, जिससे विक्रेता को अपने खरीदारों को पता चला शोबिट।

"मेरे दिमाग में, इस कार्यक्रम को अलग करने के लिए सावधानीपूर्वक कदम उठाए बिना जावा उपयोगकर्ताओं को अंत उपयोगकर्ता पीसी पर स्थापित करने की सुरक्षा और सुरक्षा के बारे में किसी भी भ्रम को दूर करना चाहिए।" 99 99 एंटी-वायरस सॉफ्टवेयर निर्माता बिट्टडेफेंडर के वरिष्ठ ई-धमकी विश्लेषक बोगदान बोटेजातु के मुताबिक, यह नवीनतम जावा शोषण पिछले एक से भी बदतर है क्योंकि कोई भी जानता है कि यह क्या है।

रविवार को पेट की गई दोष में उन्होंने समझाया, शोषण कोड की पहचान की गई बी कुछ लोकप्रिय मैलवेयर किट में वाई सुरक्षा शोधकर्ता। नवीनतम दोष के साथ, यह केवल विक्रेता को ही जाना जाता है।

"शोषण की वर्तमान विधि एक बड़े समय सीमा के लिए अज्ञात रहेगी, जिससे हमलावरों की मौका की खिड़कियां भी बढ़ जाएंगी।" बोटेज़तु ने एक ईमेल में कहा।

इस सप्ताह की शुरुआत में, बोटेजातु ने एक ब्लॉग में नोट किया कि रविवार को ओरेकल द्वारा धक्का दिया गया पैच के बावजूद, साइबर अपराधियों ने उन पर ransomware स्थापित करने के लिए unpatched मशीनों पर भेद्यता का फायदा उठाना जारी रखा।

ओरेकल की सुरक्षा चाल

को संबोधित करने के अलावा रविवार के पैच में शून्य दिवस भेद्यता, ओरेकल ने जावा की सुरक्षा सेटिंग को डिफ़ॉल्ट रूप से "उच्च" तक बढ़ा दिया। एक ईमेल में एलियनवॉल्ट लैब्स के मैनेजर जैमी ब्लैस्को ने बताया, "इसका मतलब है कि अभी उपयोगकर्ता को जावा एप्लेट्स के निष्पादन को अधिकृत करना है, जो वैध प्रमाणपत्र से हस्ताक्षरित नहीं हैं।"

जबकि यह कदम एक महान कदम है जावा को ब्राउज़र पर अधिक सुरक्षित बनाने के लिए, ब्लैस्को ने नोट किया, यह जावा की समस्याओं के लिए एक पैनसिया से बहुत दूर है।

"अतीत में, हमने देखा है कि हमलावर दुर्भावनापूर्ण कोड पर हस्ताक्षर करने के लिए एक वैध प्रमाण पत्र चोरी करने में सक्षम थे, इसलिए यह ' मुझे आश्चर्य नहीं है कि अगर हम इस तकनीक का इस्तेमाल करते हैं, तो उन्होंने कहा।

चूंकि जावा कमजोरियों के साथ झुका हुआ प्रतीत होता है, बिटकडेफेंडर बोटेजातु ने ओरेकल को सॉफ़्टवेयर के मूल घटकों की पहचान करने और इसे स्क्रैच से फिर से लिखने की सिफारिश की है।

इसमें कोई संदेह नहीं है, सॉफ़्टवेयर की थोड़ी सी पुनर्लेखन से अधिक किया जाएगा जब ओरेकल सितंबर के लिए निर्धारित जावा के अगले संस्करण को रिलीज़ करता है।