ویبیسنس: زیادہ تر جاوا فعال براؤزر وسیع پیمانے پر جاوا کا استحصال کرنے کے قابل ہوسکتا ہے

زیادہ سے زیادہ براؤزر تنصیبات جاوا پلگ ان کے پرانے ورژن کا استعمال کرتے ہیں- اس میں کم از کم ایک سے کم فی الحال اس ویب سائٹ پر محفوظ خطرہ انٹیلی جنس نیٹ ورک استعمال کیا جاتا ہے جس میں مقبول ویب حملے کے ٹول کٹس میں استعمال ہونے والی استحصال کا سامنا کرنا پڑتا ہے.

کمپنی نے حال ہی میں اپنے خطرے کی انٹیلی جنس نیٹ ورک کا استعمال کیا ہے جس کے نتیجے میں "لاکھوں لاکھ" جاوا ورژن کا پتہ لگانے کے لئے ان نظاموں پر نصب کیا جاتا ہے اور ان کے ویب براؤزرز کے ذریعہ دستیاب ہیں. ویزسینس کاروباری اداروں کے لئے ویب اور ای میل گیٹ وے کی حفاظت کی مصنوعات فراہم کرتا ہے، لیکن اس میں فیس بک کے ساتھ فیس بک کے ساتھ شراکت دار سوشل نیٹ ورکنگ سائٹ پر صارفین کو کلک کرنے کے لئے شراکت دار ہے.

Websense کی طرف سے جمع جاوا ٹیلی فونری ڈیٹا سے ظاہر ہوتا ہے کہ صرف 5.5 فیصد جاوا کے قابل براؤزرز کے پاس سافٹ ویئر کے براؤزر پلگ ان میں جاوا 7 کے تازہ ترین ورژن ہیں اپ ڈیٹ 17 (7u17) اور جاوا 6 اپ ڈیٹ 43 (6u43) انسٹال. ان دو ورژن کو 4 مارچ کو جاری ہونے والے خطرے سے نمٹنے کے لئے جاری کیا گیا تھا جو پہلے ہی فعال حملوں میں استحصال کر رہے تھے.

[مزید پڑھنے: آپ ونڈوز پی سی سے کیسے ہٹا دیں]

ویسسینس کے مطابق، ایک اس خطرے سے بچنے کے لئے استحصال کو بعد میں ڈاؤن لوڈ ہونے والے حملوں سے بڑے پیمانے پر ڈاؤن لوڈ ہونے والے حملوں کو شروع کرنے کے لئے سائبر کرائمز کے ذریعہ استعمال کیا جاتا ویب ٹولو ٹول کٹ میں ضم کیا گیا ہے، جس کے تحت مواصلاتی یا بدسلوکی ویب سائٹس کا دورہ کرتے وقت کمپیوٹر کو میلویئر کو متاثر کیا جاتا ہے.

ڈاؤن لوڈ، اتارنا ہٹانے کٹ ایک اعلی ہے پچھلے حملے کے ٹول کٹ ہر مہینے 10،000 ڈالر کی رکنیت کی ضرورت ہوتی ہے، لہذا یہ ایک دلیل ہے کہ بہت سی سائبرکریٹز اسے برداشت نہیں کرسکتے. تاہم، ویسسنس کے اعداد و شمار سے پتہ چلتا ہے کہ جاوا کے قابل براؤزر کی تنصیبات کی ایک بڑی تعداد بہت سستی اور وسیع پیمانے پر استحصال کی کٹس میں استعمال ہونے والی استحصال کے لئے بھی خطرناک ہے.

مثال کے طور پر، کمپنی نے یہ پتہ چلا کہ جاوا اسکرپٹ کے تقریبا 71 فیصد جاوا اسکرپٹ انسٹالشنز کمزور تھے. ایک بڑی عمر کا استحصال کرنے کے لئے اس وقت چار مختلف ویب حملے کے آلے میں موجود ہے: ریڈ کٹ، کوکس ایکس پی، گونگ ڈے اور بلیک ہول 2.0. CVE-2012-4681 نامی جاوا خطرے کا استحصال کرنے کا مقصد اگست 2012 میں اوکیکل کی طرف اشارہ کیا گیا تھا.

ویزسینس کی طرف سے اسکین کردہ جاوا اسکرینز کے 75 فیصد سے زیادہ براؤزر نے ایک ورژن میں جاوا پلگ ان کا استعمال کیا جو چھ ماہ سے زائد تھا. پرانے، اور تقریبا دو تہائی ایک ایسا ورژن استعمال کیا جو ایک سال کی عمر سے زائد تھی. ان براؤزرز کے صارفین کو جاوا 7 میں اپراکل کے ذریعہ متعارف کرایا گیا سیکورٹی کنٹرول سے فائدہ نہیں آتا ہے جو اس وقت جاوا اسکرپٹ کو بغیر ڈیفالٹ کی تصدیق کے بغیر جاوا اسپلٹس کو روکنے سے روکتا ہے.

اعداد و شمار سے پتہ چلتا ہے کہ جب یہ جاوا، صفر دن کے حملوں میں آتا ہے ویسسنس کے سیکیورٹی محققین نے ایک بلاگ پوسٹ میں بتایا کہ - عوام کو پہلے ہی نامعلوم افراد کی تشویش کا سامنا کرنا پڑتا ہے.

دیگر سیکورٹی ماہرین نے ماضی میں کہا ہے کہ اوریکل کو بہتر بنانے کا طریقہ تلاش کرنا چاہئے. جاوا اپ ڈیٹس کی اپنانے کی شرح، ممکنہ طور پر خاموشی کا اختیار پیش کرتے ہوئے، گوگل یا ایڈوب جیسے خودکار اپ ڈیٹس نے کروم، فلیش پلیئر اور ایڈوب ریڈر میں کیا. خاموش سافٹ ویئر اپ ڈیٹس کارپوریٹ ماحول میں مقبول نہیں ہیں، جہاں پیچیدہ نظام اور نظام پر تعینات ہونے سے قبل استحکام کے مسائل کے لئے پیچ کی جانچ پڑتال کی ضرورت ہوتی ہے، لیکن اگر لاگو ہوتا ہے تو وہ صارفین کی جگہ پر جاوا نسخوں کے ٹکڑے ٹکڑے ٹکڑے ٹکڑے ٹکڑے کو کم کرنے میں مدد کرسکیں گے.