ایک اور جاوا صفر دن ملا ، اس براؤزر پلگ ان کو پھینک دیں

جاوا میں محققین نے صفر دن کی ایک اور کمزوری کا انکشاف کیا ہے ، اور حملہ آور اس وقت جنگل میں اس کا استحصال کررہے ہیں۔

سیکیورٹی کی خرابی ، اگر متحرک ہو تو ، جاوا ورچوئل مشین میں پڑھنے اور لکھنے کی صوابدیدی کا باعث بنتی ہے ، فائر ای کے دو محققین ڈیرائن کنڈلینڈ اور یچونگ لن نے جمعرات کو فائر ای مالویئر انٹلیجنس لیب کے بلاگ پر لکھا۔ اگر کامیاب ہوتا ہے تو ، حملہ کوڈ ایک میکریٹ ڈراپر اور معلومات چوری کرنے والے ٹروجن کو متاثرہ کے کمپیوٹر پر ڈاؤن لوڈ کرتا ہے۔ یہ کچھ دوسرے کے مقابلے میں ایک مختلف قسم کی خامی ہے جو ہم نے حال ہی میں دیکھی ہے۔

فائر ای نے کہا کہ اس کے متعدد صارفین نے جاوا کے قابل برائوزرز کے خلاف حملہ دیکھا۔ سیکیورٹی کی خامیاں جاوا v.1.6 اپ ڈیٹ 41 اور تازہ ترین جاوا v1.7 اپ ڈیٹ 15 میں ہیں ، جو صرف 19 فروری کو فائر ای کے مطابق جاری کی گئیں۔ محققین پہلے ہی اوریکل (CVE-2013-1493) کے خطرے کا انکشاف کر چکے ہیں۔ اوریکل سے فی الحال کوئی اور معلومات دستیاب نہیں ہے۔

زیرو ڈےز

فائر ای محققین نے اس پوسٹ کے عنوان میں موجودہ جذبات کا خلاصہ کیا ، "YAJ0: پھر بھی ایک اور جاوا 0 دن۔" جبکہ جاوا ایک طویل عرصے سے ایک مقبول حملے کا نشانہ رہا ہے ، لیکن ایسا لگتا ہے کہ جاوا صفر دن کا استحصال کیا جارہا ہے۔ پچھلے دو ماہ کے دوران جنگل میں یہ وہی بلی اور ماؤس گیم ہے جو ہم نے دوسری کمپنیوں کے ساتھ دیکھا ہے۔ ایک صفر دن مل جاتا ہے ، کمپنی اس پر پیچ لگاتی ہے ، ایک نیا صفر ڈے مل جاتا ہے۔ دھو ، کللا ، اور دہرائیں.

اوریکل ، جو کمپنی شیڈول سے باہر شیڈول جاری کرنے میں ہچکچاہٹ کے لئے مشہور ہے ، نے پچھلے سال میں کئی ہنگامی اپڈیٹس جاری کی ہیں کیونکہ کیڑے بہت سنگین ہیں۔ کمپنی نے 19 فروری کو ایک شیڈول اپ ڈیٹ جاری کیا ، لیکن امکان ہے کہ اس مسئلے میں ایک اور ہنگامی پیچ پیدا ہو گا۔

اسے بند کردیں ، یا اس کو محدود کردیں

کیا آپ سارے خوش مزاجی سے تھک چکے ہیں اور چھلانگ لگانے کا راستہ چاہتے ہیں؟ جاوا کو براؤزر میں بند کردیں۔ پلگ ان کو غیر فعال کریں۔ ہم آپ کو جاوا کو غیر فعال کرنے کا طریقہ دکھاتے ہیں۔ کیا آپ بہت سے ، بہت سے لوگوں میں سے ہیں جن کو کام اور اسکول کے مقاصد کے لئے جاوا کی ضرورت ہے اور وہ براؤزر میں جاوا کو آف نہیں کرسکتے ہیں؟

یہاں آپ کیا کرسکتے ہیں۔ آپ اپنے پہلے سے طے شدہ ، بنیادی براؤزر میں جاوا کو غیر فعال کرتے ہیں۔ آپ جس براؤزر کو زیادہ سے زیادہ استعمال کرتے ہیں اس میں جاوا بالکل نہیں ہونا چاہئے۔ اور پھر آپ براؤزر انسٹال کرتے ہیں جو آپ اکثر نہیں استعمال کرتے ہیں - زیادہ تر لوگوں کے پاس عام طور پر ایک سے زیادہ براؤزر انسٹال ہوتے ہیں ، ویسے بھی - اور اس میں جاوا کو اہل بناتے ہیں۔ اگرچہ یہاں اہم بات یہ ہے کہ آپ کبھی بھی ، بالکل کبھی بھی ، اس براؤزر کو متعدد سائٹوں کے علاوہ کسی اور سائٹ پر جانے کے لئے استعمال نہیں کرتے ہیں جس کی آپ کو جاوا کو چلانے کی ضرورت ہے۔ کیا آپ کو بلیک بورڈ استعمال کرنے کی ضرورت ہے؟ آپ جاوا براؤزر کو فائر کرتے ہیں۔ آپ کو کچھ تلاش کرنے کی ضرورت ہے جس کا ذکر بلیک بورڈ سیشن کے دوران کیا گیا تھا؟ اس پر کلک کرنے کے بجائے ، لنک کو کاپی کریں ، اپنے پہلے سے طے شدہ براؤزر کو آگ لگائیں ، اور اس میں پیسٹ کریں۔

اس میں بہت سارے اضافی اقدامات شامل ہیں ، اور میں آپ کو بتا سکتا ہوں کہ یہ انتہائی پریشان کن ہے۔ لیکن مجھے یہ جان کر زیادہ محفوظ محسوس ہوتا ہے کہ میں پانی بھرنے والے چھید کے حملے سے متاثر ہونے کے اپنے امکانات کو کم کر رہا ہوں۔ فیس بک ، ٹویٹر ، مائیکرو سافٹ اور ایپل میں ان سبھی موبائل ڈویلپرز کے بارے میں سوچیں۔ انہوں نے جاوا کے قابل بنائے گئے براؤزرز کے ساتھ ، ایک iOS ڈویلپر ویب سائٹ (شاید وہ سائٹ جس کی باقاعدگی کے ساتھ ملاحظہ کی تھی ، اپنی ملازمتوں پر غور کیا) کا دورہ کیا۔

اگر آپ کافی ناراض ہیں تو ، آپ اگلا اقدام کریں گے ، جس سے کمپنی پر جاوا کا استعمال بند کرنے کا دباؤ ہے۔ سوفوس کے چیسٹر ویسنیوسکی نے ، مجھے رواں ہفتے آر ایس اے کانفرنس میں بتایا ، "اب ویب سائٹس کے جاوا ایپلٹ استعمال کرنے کی کوئی وجہ نہیں ہے۔ آپ آئی ٹی پر دباؤ ڈال سکتے ہیں کہ وہ کسی مختلف پروڈکٹ میں تبدیل ہو۔ بحیثیت صارفین ، آپ فروش کو جاوا کے غیر متبادل کے ساتھ آنے کو کہہ سکتے ہیں ، یا جب خریداری یا معاہدے کی تجدید کا وقت آئے گا تو آپ منسوخ ہوجائیں گے اور کسی مختلف مصنوع میں جائیں گے۔ پیسہ بولتا ہے.

وزنیوسکی نے کہا کہ انہوں نے جاوا کو ہلکے سے بند کرنے کی سفارش کرنے کا فیصلہ نہیں کیا۔ اس نے اس پر غور سے غور سے غور کیا اور اس نتیجے پر پہنچا کہ اس وقت سب سے محفوظ کام کرنا تھا۔