यादृच्छिक कोड निष्पादन

कंप्यूटर सुरक्षा में, इच्छानुसार कोड निष्पादन (एसीई) हमलावर की लक्ष्य मशीन पर या लक्ष्य प्रक्रिया (कंप्यूटिंग) में हमलावर की पसंद के किसी भी आदेश या कोड को चलाने की क्षमता है। इच्छानुसार कोड निष्पादन भेद्यता (कंप्यूटिंग) सॉफ़्टवेयर या हार्डवेयर में सुरक्षा दोष है जो इच्छानुसार कोड निष्पादन की अनुमति देता है। प्रोग्राम जिसे इस तरह की भेद्यता का लाभ उठाने के लिए डिज़ाइन किया गया है, उसे इच्छानुसार कोड निष्पादन एक्सप्लॉइट (कंप्यूटर सुरक्षा) कहा जाता है। किसी नेटवर्क (विशेष रूप से इंटरनेट जैसे वाइड-एरिया नेटवर्क के माध्यम से) पर इच्छानुसारी कोड निष्पादन को ट्रिगर करने की क्षमता को अधिकांशतः रिमोट कोड निष्पादन (आरसीई) के रूप में संदर्भित किया जाता है।

में संदर्भित किया जाता है।कांशतः रिमोदन को ट्रि

भेद्यता प्रकार
भेद्यता के कई वर्ग हैं जो किसी हमलावर की इच्छानुसार आदेश या कोड निष्पादित करने की क्षमता को जन्म दे सकते हैं। उदाहरण के लिए:


 * मेमोरी सुरक्षा भेद्यताएं जैसे बफ़र ओवरफ्लो या बफर ओवर-रीड।
 * डिसेरिएलाइज़ेशन भेद्यताएँ
 * भ्रम कमजोरियों टाइप करें
 * जीएनयू एलडीडी इच्छानुसार कोड निष्पादन

तरीके
इच्छानुसार कोड निष्पादन आमतौर पर चल रही प्रक्रिया (कंप्यूटिंग) के निर्देश सूचक (जैसे कूद या शाखा (कंप्यूटर विज्ञान)) पर नियंत्रण के माध्यम से प्राप्त किया जाता है। निर्देश सूचक उस प्रक्रिया में अगले निर्देश की ओर इशारा करता है जिसे निष्पादित किया जाएगा। निर्देश सूचक के मूल्य पर नियंत्रण इसलिए नियंत्रण देता है कि कौन सा निर्देश आगे निष्पादित किया जाता है। इच्छानुसार कोड निष्पादित करने के लिए, कई प्रक्रिया में कोड इंजेक्शन का शोषण करते हैं (उदाहरण के लिए इसे इनपुट भेजकर जो रैंडम एक्सेस मेमोरी  में डेटा बफर में संग्रहीत हो जाता है) और निर्देश सूचक को बदलने के लिए भेद्यता का उपयोग करके इसे इंगित करता है। इंजेक्शन कोड। इंजेक्शन कोड तब स्वचालित रूप से निष्पादित हो जाएगा। इस प्रकार के हमले इस तथ्य का लाभ उठाते हैं कि अधिकांश कंप्यूटर (जो वॉन न्यूमैन वास्तुकला का उपयोग करते हैं)  संग्रहीत कार्यक्रम कंप्यूटर  के बीच सामान्य अंतर नहीं करते हैं,  ताकि दुर्भावनापूर्ण कोड को हानिरहित इनपुट डेटा के रूप में छलावरण किया जा सके। कई नए सीपीयू में इसे कठिन बनाने के लिए तंत्र हैं, जैसे नो-एक्जीक्यूट बिट।

विशेषाधिकार वृद्धि के साथ संयोजन
अपने आप में, एक इच्छानुसार कोड निष्पादन शोषण हमलावर को लक्ष्य प्रक्रिया के समान विशेषाधिकार (कंप्यूटिंग) देगा जो कमजोर है। उदाहरण के लिए, यदि वेब ब्राउज़र में किसी दोष का लाभ उठाते हुए, हमलावर उपयोगकर्ता के रूप में कार्य कर सकता है, व्यक्तिगत कंप्यूटर फ़ाइलों को संशोधित करने या बैंकिंग जानकारी तक पहुँचने जैसी क्रियाएं कर सकता है, लेकिन सिस्टम-स्तरीय कार्रवाई करने में सक्षम नहीं होगा (जब तक कि उपयोगकर्ता प्रश्न में न हो) भी वह पहुंच थी)।

इसके आसपास काम करने के लिए, एक बार हमलावर लक्ष्य पर इच्छानुसार कोड निष्पादित कर सकता है, अतिरिक्त नियंत्रण हासिल करने के लिए अधिकांशतः विशेषाधिकार वृद्धि शोषण का प्रयास होता है। इसमें स्वयं कर्नेल (ऑपरेटिंग सिस्टम) या प्रशासक, सिस्टम या रूट जैसे खाते शामिल हो सकते हैं। इस बढ़े हुए नियंत्रण के साथ या उसके बिना, शोषण में गंभीर क्षति करने या कंप्यूटर को ज़ोंबी (कंप्यूटिंग) में बदलने की क्षमता है - लेकिन विशेषाधिकार वृद्धि सिस्टम के वैध व्यवस्थापक से हमले को छिपाने में मदद करती है।

उदाहरण
Retrogaming हॉबीस्ट्स ने क्लासिक वीडियो गेम में कमजोरियों को खोजने में कामयाबी हासिल की है जो उन्हें इच्छानुसार कोड निष्पादित करने की अनुमति देती है, आमतौर पर टूल-असिस्टेड speedrunning में बटन इनपुट के सटीक अनुक्रम का उपयोग करके। याद। गेम्स जल्दी हो गए  में, तेज गति के उत्साही लोगों का समूह सुपर मारियो वर्ल्ड की एक प्रति में  पांग  और स्नेक (वीडियो गेम शैली) गेम के संस्करणों को कोड और चलाने में कामयाब रहा। रैंडम-एक्सेस मेमोरी में इच्छानुसार कोड लिखने के लिए बफर ओवरफ्लो का उपयोग करके।

12 जून, 2018 को, mozilla के सुरक्षा शोधकर्ता जीन-यवेस एवनार्ड ने विंडोज 10 में एसीई भेद्यता की खोज की। 1 मई, 2018 को, सुरक्षा शोधकर्ता ने 7-ज़िप फ़ाइल संग्रहकर्ता में ACE भेद्यता की खोज की। PHP कई ACE कमजोरियों का विषय रहा है। 9 दिसंबर, 2021 को, लोकप्रिय लॉगिंग (कंप्यूटिंग) फ्रेमवर्क Log4j में Log4Shell नामक RCE भेद्यता की खोज की गई, जो iCloud, Minecraft: Java संस्करण और स्टीम (सेवा) सहित कई सेवाओं को प्रभावित करती है, और इसकी सबसे बड़ी, सबसे महत्वपूर्ण भेद्यता के रूप में विशेषता है। पिछला दशक ।

यह भी देखें

 * ब्लूकीप
 * फोलिना (सुरक्षा भेद्यता)