আদম কস গত সপ্তাহে এটি প্রকাশিত হয়েছিল যে ওপেন-সোর্স log4j টুলের একটি নিরাপত্তা গর্ত বিশ্বজুড়ে ব্যবহারকারীদের দ্বারা ব্যবহৃত লক্ষ লক্ষ অ্যাপ্লিকেশনকে ঝুঁকির মধ্যে ফেলেছে। সাইবার নিরাপত্তা বিশেষজ্ঞরা খোদ গত 10 বছরের মধ্যে এটিকে সবচেয়ে গুরুতর নিরাপত্তা দুর্বলতা হিসাবে বর্ণনা করেছেন। এবং এটি অ্যাপলকেও উদ্বিগ্ন করে, বিশেষ করে এর আইক্লাউড।
Log4j হল একটি ওপেন সোর্স লগিং টুল যা ওয়েবসাইট এবং অ্যাপ্লিকেশন দ্বারা ব্যাপকভাবে ব্যবহৃত হয়। উন্মুক্ত নিরাপত্তা গর্ত তাই আক্ষরিক লক্ষ লক্ষ অ্যাপ্লিকেশনে শোষিত হতে পারে। এটি হ্যাকারদের ক্ষতিকারক সার্ভারগুলিতে দূষিত কোড চালানোর অনুমতি দেয় এবং কথিতভাবে আইক্লাউড বা স্টিমের মতো প্ল্যাটফর্মগুলিকেও প্রভাবিত করতে পারে। এটি, তদ্ব্যতীত, একটি খুব সাধারণ আকারে, যে কারণে এটিকে এর সমালোচনামূলকতার বিষয়ে 10 এর মধ্যে 10 গ্রেড দেওয়া হয়েছিল।
Log4j-এর ব্যাপক ব্যবহারের ফলে সৃষ্ট বিপদগুলি ছাড়াও, আক্রমণকারীর পক্ষে Log4Shell এক্সপ্লয়েট ব্যবহার করা অত্যন্ত সহজ। তাকে কেবল অ্যাপ্লিকেশনটিকে লগে অক্ষরের একটি বিশেষ স্ট্রিং সংরক্ষণ করতে হবে। যেহেতু অ্যাপ্লিকেশনগুলি নিয়মিতভাবে বিভিন্ন ধরণের ইভেন্ট লগ করে, যেমন ব্যবহারকারীদের দ্বারা প্রেরিত এবং প্রাপ্ত বার্তাগুলি বা সিস্টেম ত্রুটির বিবরণ, এই দুর্বলতাটি ব্যবহার করা অস্বাভাবিকভাবে সহজ, এবং বিভিন্ন উপায়ে ট্রিগার করা যেতে পারে।
এটা হতে পারে তোমার আগ্রহ থাকতে পারে
ইতিমধ্যেই সাড়া দিয়েছে অ্যাপল
কোম্পানির মতে সারগ্রাহী আলো কোম্পানি অ্যাপল ইতিমধ্যে আইক্লাউডের এই ছিদ্রটি ঠিক করেছে। ওয়েবসাইটটি জানিয়েছে যে এই iCloud দুর্বলতাটি 10 ডিসেম্বর এখনও ঝুঁকির মধ্যে ছিল, যখন একদিন পরে এটি আর ব্যবহার করা যাবে না। শোষণ নিজেই কোনোভাবেই macOS জড়িত বলে মনে হয় না। তবে অ্যাপলই একমাত্র ঝুঁকির মধ্যে ছিল না। সপ্তাহান্তে, উদাহরণস্বরূপ, মাইক্রোসফ্ট মাইনক্রাফ্টে তার গর্ত ঠিক করেছে।
আপনি যদি ডেভেলপার এবং প্রোগ্রামার হন তবে আপনি ম্যাগাজিনের পৃষ্ঠাগুলি দেখতে পারেন নগ্ন নিরাপত্তা, যেখানে আপনি পুরো বিষয়টি নিয়ে আলোচনা করে একটি মোটামুটি বিস্তৃত নিবন্ধ পাবেন।
