اہم زنگ کی خرابی مخصوص ونڈوز کے استعمال کے معاملات میں استحصال کے خطرے کو لاحق ہے۔

رسٹ پروجیکٹ نے اپنی معیاری لائبریری کے لیے ایک اپ ڈیٹ جاری کیا ہے، جب ایک کمزوری کے محقق نے دریافت کیا کہ ونڈوز سسٹم پر بیچ فائلوں کو چلانے کے لیے استعمال ہونے والے ایک مخصوص فنکشن کو انجیکشن کی خامی کا استعمال کرتے ہوئے استعمال کیا جا سکتا ہے۔

رسٹ پروگرامنگ لینگویج کے ساتھ شامل عام فنکشنز کا سیٹ، جسے معیاری لائبریری کہا جاتا ہے، یہ صلاحیت پیش کرتا ہے - اس کی بہت سی دیگر صلاحیتوں کے درمیان - کمانڈ API کے ذریعے ونڈوز بیچ فائلوں کو انجام دینے کے لیے۔ تاہم، فنکشن نے API کے ان پٹس پر اتنی سختی سے کارروائی نہیں کی کہ عمل درآمد میں کوڈ کو انجیکشن لگانے کے امکان کو ختم کیا جا سکے۔ ایک مورچا سیکورٹی رسپانس ورکنگ گروپ ایڈوائزری 9 اپریل کو شائع ہوا۔

ایپلی کیشن سیکیورٹی فرم JFrog کے ایک سینئر خطرے کے محقق یائر میزراہی کا کہنا ہے کہ جہاں زنگ اپنی یادداشت کی حفاظت کی خصوصیات کے لیے مشہور ہے، یہ واقعہ اس بات کی نشاندہی کرتا ہے کہ پروگرامنگ لینگویج منطقی کیڑے کے خلاف ثبوت نہیں ہے۔

"مجموعی طور پر، زنگ کی میموری کی حفاظت ایک قابل ذکر فائدہ ہے، لیکن ڈویلپرز کو اپنی زنگ پر مبنی ایپلی کیشنز کی مجموعی سیکورٹی اور وشوسنییتا کو یقینی بنانے کے لیے منطقی کیڑے کے امکانات پر بھی پوری توجہ دینی چاہیے۔" "اس طرح کے منطقی مسائل کو حل کرنے کے لیے، زنگ ایک سخت جانچ اور کوڈ کے جائزے کے عمل کی حوصلہ افزائی کرتا ہے، ساتھ ہی منطقی کیڑوں کی شناخت اور ان کو کم کرنے کے لیے جامد تجزیہ کے آلات کے استعمال کی حوصلہ افزائی کرتا ہے۔"

زنگ نے ایک بہت ہی محفوظ پروگرامنگ زبان ہونے کی وجہ سے شہرت حاصل کی ہے، کیونکہ یہ ایپلی کیشنز کو اکثر شدید قسم کی خامیوں کے لیے کھلا نہیں چھوڑتی ہے جسے میموری کی حفاظت کی کمزوریوں کے نام سے جانا جاتا ہے۔ گوگل نے منسوب کیا ہے۔ میموری غیر محفوظ کوڈ میں کمی میموری سے محفوظ زبانوں میں شفٹ کرنے کے لیے، جیسے کہ رسٹ اور کوٹلن، جب کہ مائیکروسافٹ نے پایا کہ 2018 تک، جب یہ میموری سے محفوظ زبان میں منتقل ہوا، اس طرح کے خطرات باقاعدگی سے سیکورٹی کے تمام مسائل میں سے 70 فیصد کا حساب.

ونڈوز مسائل کا ایک بیچ بناتی ہے۔

تازہ ترین مسئلہ میموری کی حفاظت کا خطرہ نہیں ہے، بلکہ ناقابل اعتماد ان پٹ پر کارروائی کرنے کے لیے استعمال ہونے والی منطق کا مسئلہ ہے۔ رسٹ کی معیاری لائبریری کا ایک حصہ ڈویلپر کو پروسیسنگ کے لیے ونڈوز مشین کو بیچ فائل بھیجنے کے لیے فنکشن کو کال کرنے کی اجازت دیتا ہے۔ رسٹ فاؤنڈیشن کے ڈائریکٹر آف ٹیکنالوجی جوئل مارسی کہتے ہیں کہ میزبان کو بیچ فائل کے طور پر کوڈ جمع کرنے کی وجوہات ہیں، جو پروگرامنگ لینگویج کے مینٹینرز اور رسٹ ایکو سسٹم کو سپورٹ کرتی ہے۔

"بیچ فائلیں سسٹم پر بہت سی وجوہات کی بناء پر چلائی جاتی ہیں، اور Rust ایک API فراہم کرتا ہے تاکہ آپ ان کو کافی آسانی سے انجام دے سکیں،" وہ کہتے ہیں۔ "لہٰذا جب کہ یہ ضروری نہیں ہے کہ Rust کے لیے سب سے زیادہ عام استعمال کا معاملہ ہو، API، فکسڈ پیچ کے نفاذ سے پہلے، بدنیتی پر مبنی اداکاروں کو صوابدیدی احکامات چلا کر نظریاتی طور پر آپ کے سسٹم پر قبضہ کرنے کی اجازت دی جائے، اور یہ یقینی طور پر ایک اہم خطرہ ہے۔"

عام طور پر، ایک ڈویلپر معیاری لائبریری کا حصہ، کمانڈ ایپلیکیشن پروگرامنگ انٹرفیس (API) کے ذریعے بیچ کے عمل کے طور پر کام کا بوجھ ونڈوز ہوسٹ کو بھیج سکتا ہے۔ عام طور پر، Rust کمانڈ API کو کسی بھی کال کی حفاظت کی ضمانت دیتا ہے، لیکن اس معاملے میں، Rust پروجیکٹ تمام دلائل پر عمل درآمد کو روکنے کا کوئی طریقہ نہیں ڈھونڈ سکا، بنیادی طور پر اس لیے کہ ونڈوز کسی بھی قسم کے معیار پر عمل نہیں کرتا، اور یہ کہ API حملہ آور کو کوڈ جمع کرنے کی اجازت دے سکتا ہے جس پر عمل درآمد کیا جائے گا۔

"بدقسمتی سے یہ اطلاع دی گئی کہ ہماری فرار کی منطق کافی پوری طرح سے نہیں تھی، اور یہ ممکن تھا کہ بدنیتی پر مبنی دلائل کو منظور کیا جائے جس کے نتیجے میں من مانی شیل پر عمل درآمد ہوگا،" رسٹ سیکیورٹی رسپانس ڈبلیو جی کے مطابق۔

مورچا پروجیکٹ ذمہ دار ثابت ہوتا ہے۔

ماہرین کا کہنا ہے کہ اگرچہ کسی بھی خطرے سے نمٹنا ایک درد سر ہو سکتا ہے، لیکن رسٹ پروجیکٹ نے دکھایا ہے کہ گروپ مسائل کو جلد حل کر لیتا ہے۔ معیاری لائبریری کی کمزوری، CVE-2024-24576, بالآخر ونڈوز بیچ پروسیسنگ کا مسئلہ ہے اور دوسری پروگرامنگ زبانوں کو متاثر کرتا ہے، اگر وہ ونڈوز بیچ کے عمل کو بھیجے گئے دلائل کو مناسب طریقے سے پارس نہیں کرتی ہیں۔ JFrog's Mizrahi کا کہنا ہے کہ Windows CMD.exe پراسیس کے لیے دلائل دینے کے لیے ایک فکس کے ساتھ رسٹ پروجیکٹ سب سے پہلے دروازے سے باہر دکھائی دیتا ہے۔

رسٹ پروجیکٹ نے کہا کہ گروپس اس مسئلے کو مکمل طور پر ختم نہیں کر سکے، لیکن کمانڈ API کوئی غلطی واپس نہیں کرے گا جب فنکشن میں کوئی بھی اضافہ غیر محفوظ ہو سکتا ہے۔ 

JFrog's Mizrahi نے Rust پر زور دیا کہ وہ جامد ایپلی کیشن سیکیورٹی ٹیسٹنگ کے استعمال کو وسیع کرے اور فزنگ اور ڈائنامک ٹیسٹنگ کے استعمال کو بڑھائے۔

"مجموعی طور پر، میموری کی حفاظت پر زور دے کر اور سخت جانچ کے طریقوں کی حوصلہ افزائی کر کے زنگ صحیح راستے پر ہے،" وہ کہتے ہیں۔ "ان کوششوں کو جامد تجزیہ اور فزنگ میں مسلسل پیشرفت کے ساتھ یکجا کرنے سے رسٹ کمیونٹی اور وسیع تر سافٹ ویئر انڈسٹری کو آنے والے سالوں میں منطقی کیڑے اور ان پٹ کی توثیق کی خامیوں کو دور کرنے میں اہم پیش رفت کرنے میں مدد مل سکتی ہے۔"

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/application-security/critical-rust-flaw-poses-exploit-threat-in-specific-windows-use-cases