سیکرٹریز کو استعمال کرتے ہوئے سیکورٹی محققین نے خبردار کیا ہے کہ سائبر کرائمٹس نے ڈیجیٹل سرٹیفکیٹس کے ساتھ سائن ان کرنے کی اجازت دی ہے. براؤزرز کے اندر چلانے کے لئے بدسلوکی کوڈ.

ایک دستخط جاوا استحصال پیر کو دریافت کیا گیا سیکورٹی محقق ایرک رومان نے منگل کو ایک بلاگ پوزیشن میں بتایا کہ جرمنی میں ٹیکنالوجی کے Chemnitz یونیورسٹی سے تعلق رکھنے والی ویب سائٹ، G01pack نامی ویب استحصال کے ٹول کٹ سے متاثر ہوا تھا.

"یہ یقینی طور پر GO01 پیک ہے"، خطرناک انٹیلی جنس کے ڈائریکٹر جینڈرچ Kubec نے کہا. اینٹیوائرس وینڈر آستٹ نے ای میل کے ذریعے کہا. اس نے کہا کہ اس دستخط جاوا استحصال کا پہلا نمونہ 28 فروری کو پتہ چلا تھا. [

] [مزید پڑھنے: آپ کے ونڈوز پی سی سے میلویئر کو کیسے ہٹا دیں]

یہ فوری طور پر واضح نہیں تھا کہ اس کا استحصال ایک نیا خطرہ ہے یا ایک پرانے جاوا کی غلطی جو پہلے ہی گھیر دی گئی ہے. اوریکل نے دو اہم خطرات کو حل کرنے کے لئے دو جاوا سیکورٹی اپ ڈیٹس جاری کی، جس میں سے ایک حملہ آوروں نے فعال طور پر استحصال کیا.

جاوا کا استحصال غیر روایتی طور پر ایپلیوز- جاوا ویب ایپلی کیشنز کے طور پر پہنچایا گیا ہے. پرانے جاوا ورژن میں خود کار طریقے سے استعمال کیا جاتا ہے، جس میں ہیکرز نے ڈرائیو سے ڈاؤن لوڈ ہونے والی حملوں کو مکمل طور پر ڈاؤن لوڈ کرنے والے حملوں کی اجازت دی ہے جو متاثرین کو مکمل طور پر شفاف تھے.

جاوا 7 میں سرٹیفکیٹ کی بحالی کی ترتیبات کی ترتیبات

جنوری کی رہائی کے ساتھ شروع جاوا 7 اپ ڈیٹ 11 کے، ویب پر مبنی جاوا مواد کے لئے پہلے سے طے شدہ سیکورٹی کنٹرول اعلی اور فوری طورپر صارفین کو براؤزر کے اندر چلانے کی اجازت دینے سے قبل تصدیق کرنے کے لئے مقرر کئے جاتے ہیں، چاہے وہ ڈیجیٹل دستخط کئے جائیں یا نہیں.

اس نے کہا، غیر منظم شدہ افراد پر دستخط کئے جانے والے استحصال کا استعمال حملہ آوروں کے لئے فائدہ فراہم کرتا ہے، کیونکہ دو صورتوں میں جاوا کی طرف سے ظاہر ہونے والی توثیقی ڈائیلاگ بہت مختلف ہیں. غیر نامزد شدہ جاوا ایپل کے لئے ڈائیلاگ اصل میں "سلامتی انتباہ" ہے.

ڈیجیٹل دستخط صارفین کو یقین دلانے کا ایک اہم حصہ ہے جو آپ کو اپنے کوڈ پر اعتماد کرسکتے ہیں، ایٹیوائرس وینڈر بڈڈفینڈر میں ایک سینئر ای خطرہ تجزیہ کار، بگدان بنوزاتھو نے کہا. انہوں نے کہا کہ دستخط کردہ کوڈ کے لئے ظاہر کی تصدیق کی ڈائیلاگ بہت زیادہ ہے اور غیر متوقع کوڈ کے معاملے میں ظاہر ہونے والے ایک سے زیادہ خطرناک ہے.

"اس کے علاوہ، جاوا خود کو دستخط کئے جانے والے اور غیر منظم شدہ کوڈ کو مختلف طریقے سے عمل کرتا ہے اور مناسب طریقے سے سیکورٹی پابندیاں نافذ کرتی ہے" Botezatu کہا. مثال کے طور پر، اگر جاوا سیکورٹی کی ترتیبات "بہت اونچے،" ناممکن ایپل کے لئے مقرر کیے جاتے ہیں تو وہ بالکل نہیں چلیں گے، جبکہ ایپلٹ پر دستخط کیے جائیں گے اگر صارف عمل کی تصدیق کرے تو. انہوں نے کہا کہ کارپوریٹ ماحول میں جہاں بہت زیادہ جاوا سیکورٹی کی ترتیبات نافذ ہوئیں، کوڈ پر دستخط ایک ھدف بخش نظام پر بدسلوکی اپیل چلانے کے لئے واحد راستہ ہوسکتا ہے.

جاوا میں سائن ان جاوا ایپلٹ کے لئے سیکورٹی انتباہ کا مثال 7 اپ ڈیٹ 17

یہ نیا جاوا استحصال بھی اس حقیقت کو روشن کرنے کے لئے لایا ہے کہ جاوا ڈی ڈیفالٹ سرٹیفکیٹ کی تنصیب ڈیفالٹ کے ذریعہ چیک نہیں کرتا.

پیرس محققین کی طرف سے پایا جانے والے استحصال پیر کو ایک ڈیجیٹل سرٹیفکیٹ کے ساتھ دستخط کیا گیا ہے جو زیادہ تر ممکنہ طور پر چوری ہوئی ہے. سندھ سندھ، ٹیکساس میں مبنی کلیسسٹ کنسلٹنگ نامی ایک کمپنی کے پاس سندھ کو جاری کیا گیا تھا، اور اس کے بعد دسمبر 7، 2012 کی تاریخ کے ساتھ منسوخ کر دیا گیا تھا.

سرٹیفکیٹ کی تنازعہ ریٹرویکٹو سے درخواست دے سکتی ہے اور یہ بالکل واضح نہیں ہے کہ والد صاحب نے پرچم کیا ہے. ردعمل کے لئے سرٹیفکیٹ. تاہم، 25 فروری کو، اس استحصال کا سب سے قدیم ترین نمونہ تین دن پہلے پتہ چلا تھا کہ، اس کمپنی کی طرف سے شائع کردہ سرٹیفکیٹ ردعمل کی فہرست میں منسوخ شدہ تصدیق نامہ پہلے ہی درج کی گئی تھی. اس کے باوجود، جاوا اس سرٹیفکیٹ درست کے طور پر دیکھتا ہے.

"اعلی درجے کی سیکورٹی کی ترتیبات" کے زمرے کے تحت، جاوا کنٹرول پینل کے "اعلی درجے کی" ٹیب پر، سرٹیفکیٹ ریوشن کی فہرستوں (CRLs) کا استعمال کرتے ہوئے منسوخ کرنے کے لئے سرٹیفکیٹ چیک کریں.) "اور" آن لائن سرٹیفکیٹ کی توثیق کو فعال کریں "- دوسرا اختیار OCSP (آن لائن سرٹیفکیٹ کی حیثیت پروٹوکول) کا استعمال کرتا ہے. یہ دونوں اختیارات ڈیفالٹ کے ذریعہ معذور ہیں.

برطانیہ کے اوریکل کے پی آر ایجنسی نے منگل کو ای میل کے ذریعے بتایا کہ اوراکل اس وقت اس مسئلے کے بارے میں کوئی تبصرہ نہیں کرتا ہے.

"سہولت کے لئے قربانی کی حفاظت ایک سنجیدہ سیکورٹی نگرانی ہے، خاص طور پر جاوا سب سے زیادہ ھدف کردہ تیسری پارٹی کا ٹکڑا ہے. نومبر 2012 سے سوفٹ ویئر کے، "باتوزوٹ نے کہا. تاہم، اورکلکل اس میں اکیلے نہیں ہے، محققین نے کہا کہ، ایڈوب بحری جہاز ایڈوب ریڈر 11 ایک قابل اعتماد سینڈ باکس باکس میکانیزم کے ساتھ استعمال کرنے کی وجوہات کی بنا پر ڈیفالٹ کی طرف سے معذور ہے.

بٹزوٹیو اور Kubec دونوں کو یقین ہے کہ حملہ آوروں کو تیزی سے ڈیجیٹل دستخط جاوا

سیکورٹی فرم Bit9 نے حال ہی میں انکشاف کیا کہ ہیکرز اس کے ڈیجیٹل سرٹیفکیٹس میں سے ایک سمجھو اور اسے میلویئر پر دستخط کرنے کے لئے استعمال کرتے ہیں. گزشتہ سال، ہیکرز نے ایڈوب سے معاہدہ شدہ ڈیجیٹل سرٹیفکیٹ کے ساتھ ہی کیا.

ان واقعات اور اس نوو جاوا کا استحصال اس بات کا ثبوت ہے کہ درست ڈیجیٹل سرٹیفکیٹ غیر فعال کوڈ پر دستخط کرنے کا خاتمہ کرسکتے ہیں. اس تناظر میں، سرٹیفکیٹ کے تنازعات کے لئے فعال طور پر جانچ پڑتال خاص طور پر اہم ہے کیونکہ یہ سرٹیفیکیشن معاہدہ کے معاملے میں دستیاب صرف کمی ہے.

روزانہ کی بنیاد پر جاوا کے براؤزر میں صارفین کی ضرورت ہے جو صارفین کو بہتر بنانے کے قابل ہونا چاہئے. ای میل کے ذریعہ، پولش کے خطرے سے متعلق ریسرچ فرم سیکورٹی ریسرچ کے بانی آدم گدودی نے کہا کہ چوری سرٹیفکیٹ کا استحصال کرنے والے حملوں کے خلاف حفاظت کریں. سیکورٹی ریسرچ ریسرچرز نے پچھلے سال میں 50 سے زائد جاوا اسکرینز کو پایا اور اطلاع دی ہے.

صارفین کو دستی طور پر ان سرٹیفکیٹ کے ردعمل کے اختیارات کو فعال کرنا چاہئے، ان میں سے بہت سے اس پر غور نہیں کریں گے کہ وہ سیکورٹی اپ ڈیٹس بھی انسٹال نہیں کرتے ہیں.. محققین کی امید ہے کہ مستقبل کے اپ ڈیٹ میں اوکلکل خود کار طریقے سے خصوصیت کو تبدیل کردیں گے.