ویڈیو: سورة الكاÙرون المنشاوي المعلم مكررة 7 مرات1 (اکتوبر 2024)
اوریکل نے جاوا میں سیکیورٹی کے ایک سنگین مسئلے کو بند کرنے کے لئے ایک ہنگامی اپ ڈیٹ جاری کیا ہے جسے حملہ آور پہلے ہی صارف کمپیوٹرز میں توڑنے کے لئے استعمال کررہے تھے۔
اوریکل کے جاوا 7 میں حال ہی میں دریافت ہونے والے شدید خطرے کی نشاندہی کرتے ہوئے ، اوریکل نے 13 جنوری کو جاری کیے گئے سیکیورٹی ایڈوائزری میں کہا۔ ایک حملہ آور صارفین کو مکروہ ایپلیٹ چلانے والی ویب سائٹ ملاحظہ کرنے کے لئے دھوکہ دہی کے ذریعے تازہ ترین نقص کا فائدہ اٹھائے گا۔ صارفین کو فوری طور پر جاوا 7 اپ ڈیٹ 11 کو اپ ڈیٹ کرنے کا مشورہ دیا جاتا ہے۔
جاوا 7 اپ ڈیٹ 11 نے CVE-2013-0422 (تازہ ترین خطرے) کے ساتھ ساتھ CVE-2012-3174 ، جو ایک قدیم ریموٹ کوڈ پر عمل درآمد مسئلے کو گذشتہ جون سے شروع کیا ہے دونوں کو کم کرتا ہے۔ دونوں خامیوں کو 10 میں کامن وایبلریبلٹی اسکورنگ سسٹم کی درجہ بندی ملی ، جو اس پیمانے پر زیادہ سے زیادہ ممکنہ اسکور ہے۔ اس پیچ میں اوریکل نے خامی بند کردی اور یہ بھی تبدیل کردیا کہ جاوا نے ویب ایپلی کیشنز کے ساتھ کس طرح بات چیت کی۔
اوریکل نے ایڈوائزری میں کہا ، "جاوا ایپلٹ اور ویب اسٹارٹ ایپلی کیشنز کے لئے ڈیفالٹ سیکیورٹی کی سطح کو 'میڈیم' سے بڑھا کر 'اونچائی' کر دیا گیا ہے۔
اس کا مطلب یہ ہے کہ استعمال کنندہ کو ہمیشہ اشارہ کیا جائے گا اس سے پہلے کہ دستخط شدہ جاوا ایپلٹ یا ویب اسٹارٹ اطلاق چل سکے۔ اس سے پہلے ، جاوا ایپلٹ اور ایپلی کیشنز خود بخود چلتی ہیں کیونکہ صارفین کے پاس جاوا کا جدید ترین ورژن انسٹال ہوا ہے۔ اوریکل نے کہا ، "اعلی" ترتیب کے ساتھ ، کسی بھی دستخط شدہ درخواست کو چلانے سے پہلے صارف کو ہمیشہ متنبہ کیا جاتا ہے تاکہ حملہ آور خاموش حملے نہیں کرسکیں گے۔
آؤٹ آف بینڈ پیچ
اوریکل کا ہنگامی پیچ غیر معمولی ہے۔ کمپنی عام طور پر ایک سہ ماہی سائیکل پر جاوا کو پیچ کرتی ہے ، لیکن اس نے ممکنہ طور پر یہ آؤٹ آف بینڈ فکس جاری کیا ہے کیونکہ اس خطرے کا استحصال کرنے والے اٹیک کوڈ کو پہلے ہی کئی مشہور استحصال کٹس میں شامل کیا جا چکا ہے ، جن میں "بلیک ہول" اور "نیوکلیئر پیک" شامل ہیں۔ کرائم ویئر کی کٹس مجرموں کے لئے میلویئر والے کمپیوٹرز کو متاثر کرنا اور ان کے اپنے مذموم مقاصد کے لئے مشینوں پر قبضہ کرنا آسان بنادیتی ہیں۔ محققین نے پہلے ہی کوڈ کو چلانے والی ویب سائٹوں کا انکشاف کیا ہے ، حالانکہ ابھی تک یہ معلوم نہیں ہے کہ پہلے ہی کتنے صارفین سے سمجھوتہ کیا گیا ہے۔
اوریکل نے اس سے قبل آخری موسم خزاں میں ایک آؤٹ آف بینڈ پیچ جاری کیا تھا جب محققین نے اسی طرح کے ریموٹ پھانسی کے عیب کو ڈھک لیا تھا۔
ڈیسک ٹاپ کو نہیں ، ویب براؤزرز میں جاوا کو متاثر کرتا ہے
اوریکل کے سافٹ ویئر سیکیورٹی انشورنس ڈائریکٹر نے اوریکل سافٹ ویئر سیکیورٹی انشورنس بلاگ پر لکھا ہے ، "یہ یاد رکھنا ضروری ہے کہ اس اپ ڈیٹ میں طے شدہ دو ریموٹ کوڈ پر عمل درآمد کی کمزوریوں کا اطلاق" صرف ویب براؤزر میں جاوا پر ہوتا ہے کیونکہ وہ براؤزر ایپلٹ کے ذریعہ استحصال کرتے ہیں۔ " . اگر آپ باقاعدگی سے جاوا کو چلانے والی ویب سائٹوں تک رسائی حاصل نہیں کرتے ہیں تو پھر یہ آپ کے براؤزر میں جاوا پلگ ان کو غیر فعال کرنے کے قابل ہے۔ سیکیورٹی واچ کی نیل روبینکنگ سے جاوا کو غیر فعال کرنے کے طریقے کے بارے میں مرحلہ وار ہدایات یہ ہیں۔
بہت سے ڈیسک ٹاپ ایپلی کیشنز اور مشہور کھیل (مائن کرافٹ ، کوئی بھی؟) جاوا کا استعمال کرتے ہیں ، لیکن جاوا کے مقامی کلائنٹ کے زیر اثر حملہ نہیں ہے۔
ماریس نے لکھا ، "یہ کمزوریاں جاوا کو سرورز ، جاوا ڈیسک ٹاپ ایپلی کیشنز ، یا ایمبیڈڈ جاوا پر اثر انداز نہیں کرتی ہیں۔"
