محققین: ڈیسک ٹاپ، سرورز کے لئے جاوا ریموٹیم ماحول میں سنگین نقصان

پولش سیکورٹی ریسرچ فرم سے سیکورٹی جاوا اسباب کی جاوا خطرناک شکاریوں کا دعوی ہے کہ تازہ ترین ڈیسک ٹاپ اور سرور ورژن پر اثر انداز ہوتا ہے. جاوا ریموٹیم ماحولیاتی (جے آر).

حفاظتی تحقیقات کے سی ای او آدم گودوک نے، جاوا کے عکاسی API کے اجزاء میں خطرے کی زد میں واقع ہے اور جاوا سیکورٹی سینڈ باکس کو مکمل طور پر باطل کرنے اور کمپیوٹرز پر خودمختاری کوڈ پر عمل کرنے کے لئے استعمال کیا جا سکتا ہے. مکمل افشاء کرنے والے میلنگ کی فہرست میں ایک ای میل بھیج دیا گیا ہے. انہوں نے کہا کہ غلطی جاوا 7 کے تمام ورژن پر اثر انداز کرتا ہے، بشمول جاگ 7 اپ ڈیٹ 21 سمیت جو گزشتہ منگل اوکول اور ایک ہی وقت میں جاری ہونے والے نئے سرور JRE پیکج کی طرف سے جاری کیا گیا تھا.

جیسا کہ نام سے پتہ چلتا ہے کہ، سرور JRE ایک ورژن ہے جاوا سرور کی تعینات کے لئے تیار جاوا رنٹیم ماحولیات کی. اوریکل کے مطابق، سرور JRE میں جاوا براؤزر پلگ ان شامل نہیں ہے، ویب پر مبنی استحصال، آٹو اپ ڈیٹ جزو یا باقاعدہ JRE پیکج میں پایا انسٹالر کے لئے اکثر ہدف.

[مزید پڑھنے: کس طرح آپ کے ونڈوز پی سی سے میلویئر کو ہٹانے کے لئے]

اگرچہ اوریکل یہ جانتا ہے کہ جاوا کے خطرات بھی خطرناک اجزاء میں APIs (ایپلی کیشن پروگرامنگ انٹرفیس) پر بدیہی ان پٹ کی فراہمی کی طرف سے سرور کی تعینات پر استحصال کیا جا سکتا ہے، اس کا پیغام عام طور پر جا رہا ہے کہ جاوا کی اکثریت گادوک نے منگل کو ای میل کے ذریعہ بتایا کہ ہم کمزور جاوا براؤزر پلگ ان پر اثر انداز کرتے ہیں یا جاوا کے لئے استحصال کے منظر نامے قابل اطمینان ہیں.

"ہم نے صارفین کو آگاہ کرنے کی کوشش کی کہ جاوا کے اثرات کے سلسلے میں اورراکل کا دعوی غلط تھا. SE خطرات، "گوردوک نے کہا. "ہم نے ثابت کیا ہے کہ کیڑے کا اندازہ صرف جاوا پلگ ان پر اثر انداز ہوتا ہے جیسے ہی جاوا پلگ ان پر بھی اثر انداز ہوتا ہے."

فروری میں، سلامتی کی تحقیقات نے ایک ثبوت کا ثبوت شائع کیا جو جاوا خطرے سے متعلق طور پر پلگ ان کے طور پر درجہ بندی کی جاتی ہے. گودوک نے بتایا کہ اس کے ذریعہ RMI (دور دراز طریقہ کار کی درخواست) پروٹوکول کا استعمال کرتے ہوئے سرور پر جاوا پر حملہ کرنے کے لئے استعمال کیا جا سکتا ہے. انہوں نے کہا کہ اوراکل نے گزشتہ ہفتے جاوا اپ ڈیٹ میں RMI حملے ویکٹر کو خطاب کیا، لیکن سرورز پر جاوا تعیناتی پر حملہ کرنے کے دیگر طریقے موجود ہیں.

حفاظتی تحقیقاتی محققین نے سرور کی جی ای آر کے خلاف پایا جانے والے نئے خطرے کے کامیاب استحصال کی تصدیق نہیں کی ہے، لیکن وہ جاوا APIs اور اجزاء کو نامزد کر لیتے ہیں جو سرورز پر ناقابل یقین جاوا کوڈ کو لوڈ کرنے یا اس پر عمل کرنے کے لئے استعمال کیا جا سکتا ہے.

اگر ایک ویکٹر پر مبنی اجزاء میں سے ایک میں موجود ہے تو وہ ہدایت 3-8 کے اورلکل کی "محفوظ کوڈنگ ہدایات" میں بیان کردہ اجزاء میں موجود ہے. گوردوک نے بتایا کہ "پروگرامنگ زبان،" جاوا سرور کی تعینات ایک خطرناک ذریعہ پر حملہ کیا جا سکتا ہے جیسے ایک پیر سے اوکلکل کی اطلاع ملی.

محققین نے اس معاملے کو عکاس کرنے کے لۓ ایپلیکیشنز کو جاوا اور جاوا 7 میں سیکورٹی کے مسائل کے لۓ آگاہ کردیا. ابھی تک بہت سے خطرات کا ذریعہ ہے. گودوک نے کہا کہ "عکاسی API جاوا سیکورٹی ماڈل کو بہت اچھی طرح سے فٹ نہیں ہے اور اگر غلطی کا استعمال ہوتا ہے تو یہ آسانی سے سیکورٹی کے مسائل کو حل کرسکتا ہے."

یہ نئی غلطی عکاسی API کی کمزوری کا ایک عام مثال ہے. انہوں نے کہا کہ اس خطرے کو جاوا 7 کوڈ میں موجود نہیں ہونا چاہئے ایک سال بعد مائکروسافٹ حفاظتی مسئلہ سے متعلق عکاسی API سے حفاظتی تحقیقات کی طرف سے گزرنے کی اطلاع دی گئی.