رسٹ پروجیکٹ نے اپنی معیاری لائبریری کے لیے ایک اپ ڈیٹ جاری کیا ہے، جب ایک کمزوری کے محقق نے دریافت کیا کہ ونڈوز سسٹم پر بیچ فائلوں کو چلانے کے لیے استعمال ہونے والے ایک مخصوص فنکشن کو انجیکشن کی خامی کا استعمال کرتے ہوئے استعمال کیا جا سکتا ہے۔
رسٹ پروگرامنگ لینگویج کے ساتھ شامل عام فنکشنز کا سیٹ، جسے معیاری لائبریری کہا جاتا ہے، یہ صلاحیت پیش کرتا ہے - اس کی بہت سی دیگر صلاحیتوں کے درمیان - کمانڈ API کے ذریعے ونڈوز بیچ فائلوں کو انجام دینے کے لیے۔ تاہم، فنکشن نے API کے ان پٹس پر اتنی سختی سے کارروائی نہیں کی کہ عمل درآمد میں کوڈ کو انجیکشن لگانے کے امکان کو ختم کیا جا سکے۔ ایک مورچا سیکورٹی رسپانس ورکنگ گروپ ایڈوائزری 9 اپریل کو شائع ہوا۔
ایپلی کیشن سیکیورٹی فرم JFrog کے ایک سینئر خطرے کے محقق یائر میزراہی کا کہنا ہے کہ جہاں زنگ اپنی یادداشت کی حفاظت کی خصوصیات کے لیے مشہور ہے، یہ واقعہ اس بات کی نشاندہی کرتا ہے کہ پروگرامنگ لینگویج منطقی کیڑے کے خلاف ثبوت نہیں ہے۔
"مجموعی طور پر، زنگ کی میموری کی حفاظت ایک قابل ذکر فائدہ ہے، لیکن ڈویلپرز کو اپنی زنگ پر مبنی ایپلی کیشنز کی مجموعی سیکورٹی اور وشوسنییتا کو یقینی بنانے کے لیے منطقی کیڑے کے امکانات پر بھی پوری توجہ دینی چاہیے۔" "اس طرح کے منطقی مسائل کو حل کرنے کے لیے، زنگ ایک سخت جانچ اور کوڈ کے جائزے کے عمل کی حوصلہ افزائی کرتا ہے، ساتھ ہی منطقی کیڑوں کی شناخت اور ان کو کم کرنے کے لیے جامد تجزیہ کے آلات کے استعمال کی حوصلہ افزائی کرتا ہے۔"
زنگ نے ایک بہت ہی محفوظ پروگرامنگ زبان ہونے کی وجہ سے شہرت حاصل کی ہے، کیونکہ یہ ایپلی کیشنز کو اکثر شدید قسم کی خامیوں کے لیے کھلا نہیں چھوڑتی ہے جسے میموری کی حفاظت کی کمزوریوں کے نام سے جانا جاتا ہے۔ گوگل نے منسوب کیا ہے۔ میموری غیر محفوظ کوڈ میں کمی میموری سے محفوظ زبانوں میں شفٹ کرنے کے لیے، جیسے کہ رسٹ اور کوٹلن، جب کہ مائیکروسافٹ نے پایا کہ 2018 تک، جب یہ میموری سے محفوظ زبان میں منتقل ہوا، اس طرح کے خطرات باقاعدگی سے سیکورٹی کے تمام مسائل میں سے 70 فیصد کا حساب.
ونڈوز مسائل کا ایک بیچ بناتی ہے۔
تازہ ترین مسئلہ میموری کی حفاظت کا خطرہ نہیں ہے، بلکہ ناقابل اعتماد ان پٹ پر کارروائی کرنے کے لیے استعمال ہونے والی منطق کا مسئلہ ہے۔ رسٹ کی معیاری لائبریری کا ایک حصہ ڈویلپر کو پروسیسنگ کے لیے ونڈوز مشین کو بیچ فائل بھیجنے کے لیے فنکشن کو کال کرنے کی اجازت دیتا ہے۔ رسٹ فاؤنڈیشن کے ڈائریکٹر آف ٹیکنالوجی جوئل مارسی کہتے ہیں کہ میزبان کو بیچ فائل کے طور پر کوڈ جمع کرنے کی وجوہات ہیں، جو پروگرامنگ لینگویج کے مینٹینرز اور رسٹ ایکو سسٹم کو سپورٹ کرتی ہے۔
"بیچ فائلیں سسٹم پر بہت سی وجوہات کی بناء پر چلائی جاتی ہیں، اور Rust ایک API فراہم کرتا ہے تاکہ آپ ان کو کافی آسانی سے انجام دے سکیں،" وہ کہتے ہیں۔ "لہٰذا جب کہ یہ ضروری نہیں ہے کہ Rust کے لیے سب سے زیادہ عام استعمال کا معاملہ ہو، API، فکسڈ پیچ کے نفاذ سے پہلے، بدنیتی پر مبنی اداکاروں کو صوابدیدی احکامات چلا کر نظریاتی طور پر آپ کے سسٹم پر قبضہ کرنے کی اجازت دی جائے، اور یہ یقینی طور پر ایک اہم خطرہ ہے۔"
عام طور پر، ایک ڈویلپر معیاری لائبریری کا حصہ، کمانڈ ایپلیکیشن پروگرامنگ انٹرفیس (API) کے ذریعے بیچ کے عمل کے طور پر کام کا بوجھ ونڈوز ہوسٹ کو بھیج سکتا ہے۔ عام طور پر، Rust کمانڈ API کو کسی بھی کال کی حفاظت کی ضمانت دیتا ہے، لیکن اس معاملے میں، Rust پروجیکٹ تمام دلائل پر عمل درآمد کو روکنے کا کوئی طریقہ نہیں ڈھونڈ سکا، بنیادی طور پر اس لیے کہ ونڈوز کسی بھی قسم کے معیار پر عمل نہیں کرتا، اور یہ کہ API حملہ آور کو کوڈ جمع کرنے کی اجازت دے سکتا ہے جس پر عمل درآمد کیا جائے گا۔
"بدقسمتی سے یہ اطلاع دی گئی کہ ہماری فرار کی منطق کافی پوری طرح سے نہیں تھی، اور یہ ممکن تھا کہ بدنیتی پر مبنی دلائل کو منظور کیا جائے جس کے نتیجے میں من مانی شیل پر عمل درآمد ہوگا،" رسٹ سیکیورٹی رسپانس ڈبلیو جی کے مطابق۔
مورچا پروجیکٹ ذمہ دار ثابت ہوتا ہے۔
ماہرین کا کہنا ہے کہ اگرچہ کسی بھی خطرے سے نمٹنا ایک درد سر ہو سکتا ہے، لیکن رسٹ پروجیکٹ نے دکھایا ہے کہ گروپ مسائل کو جلد حل کر لیتا ہے۔ معیاری لائبریری کی کمزوری، CVE-2024-24576, بالآخر ونڈوز بیچ پروسیسنگ کا مسئلہ ہے اور دوسری پروگرامنگ زبانوں کو متاثر کرتا ہے، اگر وہ ونڈوز بیچ کے عمل کو بھیجے گئے دلائل کو مناسب طریقے سے پارس نہیں کرتی ہیں۔ JFrog's Mizrahi کا کہنا ہے کہ Windows CMD.exe پراسیس کے لیے دلائل دینے کے لیے ایک فکس کے ساتھ رسٹ پروجیکٹ سب سے پہلے دروازے سے باہر دکھائی دیتا ہے۔
رسٹ پروجیکٹ نے کہا کہ گروپس اس مسئلے کو مکمل طور پر ختم نہیں کر سکے، لیکن کمانڈ API کوئی غلطی واپس نہیں کرے گا جب فنکشن میں کوئی بھی اضافہ غیر محفوظ ہو سکتا ہے۔
JFrog's Mizrahi نے Rust پر زور دیا کہ وہ جامد ایپلی کیشن سیکیورٹی ٹیسٹنگ کے استعمال کو وسیع کرے اور فزنگ اور ڈائنامک ٹیسٹنگ کے استعمال کو بڑھائے۔
"مجموعی طور پر، میموری کی حفاظت پر زور دے کر اور سخت جانچ کے طریقوں کی حوصلہ افزائی کر کے زنگ صحیح راستے پر ہے،" وہ کہتے ہیں۔ "ان کوششوں کو جامد تجزیہ اور فزنگ میں مسلسل پیشرفت کے ساتھ یکجا کرنے سے رسٹ کمیونٹی اور وسیع تر سافٹ ویئر انڈسٹری کو آنے والے سالوں میں منطقی کیڑے اور ان پٹ کی توثیق کی خامیوں کو دور کرنے میں اہم پیش رفت کرنے میں مدد مل سکتی ہے۔"
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/application-security/critical-rust-flaw-poses-exploit-threat-in-specific-windows-use-cases
- : ہے
- : ہے
- : نہیں
- $UP
- 2018
- 7
- 9
- a
- کی صلاحیت
- کے مطابق
- اداکار
- پتہ
- خطاب کرتے ہوئے
- مناسب
- مان لیا
- ترقی
- فائدہ
- کے بعد
- کے خلاف
- تمام
- کی اجازت
- کی اجازت
- کی اجازت دیتا ہے
- بھی
- کے درمیان
- an
- تجزیہ
- اور
- کوئی بھی
- اے پی آئی
- ظاہر ہوتا ہے
- درخواست
- درخواست سیکورٹی
- ایپلی کیشنز
- اپریل
- صوابدیدی
- کیا
- دلائل
- AS
- At
- حملہ آور
- توجہ
- augments
- BE
- کیونکہ
- اس سے پہلے
- کیا جا رہا ہے
- وسیع کریں
- وسیع
- کیڑوں
- لیکن
- by
- فون
- کر سکتے ہیں
- صلاحیتوں
- کیس
- مقدمات
- طبقے
- کلوز
- کوڈ
- کوڈ کا جائزہ
- امتزاج
- کس طرح
- کمانڈ
- کامن
- کمیونٹی
- مکمل طور پر
- جاری رہی
- سکتا ہے
- اہم
- معاملہ
- ضرور
- ڈیولپر
- ڈویلپرز
- DID
- ڈائریکٹر
- دریافت
- do
- کرتا
- دروازے
- چھوڑ
- متحرک
- آسانی سے
- ماحول
- کوششوں
- کا خاتمہ
- پر زور
- حوصلہ افزائی
- حوصلہ افزا
- کافی
- کو یقینی بنانے کے
- خرابی
- عملدرآمد
- پھانسی
- پھانسی
- توسیع
- ماہرین
- دھماکہ
- استحصال کیا۔
- کافی
- خصوصیات
- فائل
- فائلوں
- مل
- فرم
- پہلا
- درست کریں
- مقرر
- غلطی
- خامیوں
- کے لئے
- آگے
- ملا
- فاؤنڈیشن
- تقریب
- افعال
- حاصل کی
- گوگل
- گروپ
- گروپ کا
- ضمانت دیتا ہے
- he
- مدد
- میزبان
- تاہم
- HTML
- HTTPS
- شناخت
- if
- عملدرآمد
- in
- واقعہ
- شامل
- صنعت
- ان پٹ
- آدانوں
- انٹرفیس
- میں
- مسئلہ
- جاری
- مسائل
- IT
- میں
- جویل
- فوٹو
- جانا جاتا ہے
- زبان
- زبانیں
- تازہ ترین
- چھوڑ دو
- لائبریری
- منطق
- منطقی
- مشین
- بنا
- بدقسمتی سے
- بہت سے
- یاد داشت
- مائیکروسافٹ
- تخفیف کریں
- سب سے زیادہ
- ضروری
- ضروری ہے
- قابل ذکر
- of
- تجویز
- on
- کھول
- دیگر
- ہمارے
- باہر
- پر
- مجموعی طور پر
- حصہ
- منظور
- منظور
- پاسنگ
- پیچ
- ادا
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- متصور ہوتا ہے
- امکان
- ممکن
- ممکنہ
- طریقوں
- کی روک تھام
- بنیادی طور پر
- مسئلہ
- عمل
- پروسیسنگ
- پروگرامنگ
- پروگرامنگ زبانوں
- منصوبے
- ثبوت
- ثابت ہوتا ہے
- فراہم کرتا ہے
- شائع
- جلدی سے
- وجوہات
- باقاعدگی سے
- وشوسنییتا
- اطلاع دی
- شہرت
- محقق
- حل کرتا ہے۔
- جواب
- قبول
- نتیجہ
- واپسی
- کا جائزہ لینے کے
- ٹھیک ہے
- سخت
- رن
- چل رہا ہے
- مورچا
- s
- سیفٹی
- کہا
- کا کہنا ہے کہ
- کا کہنا ہے کہ
- محفوظ بنانے
- سیکورٹی
- بھیجنے
- سینئر
- بھیجا
- مقرر
- شیل
- منتقل
- منتقل کر دیا گیا
- دکھایا گیا
- اہم
- So
- سافٹ ویئر کی
- مخصوص
- معیار
- مستحکم
- ترقی
- جمع
- جمع کرانا
- اس طرح
- کی حمایت کرتا ہے
- کے نظام
- سسٹمز
- لے لو
- ٹیکنالوجی
- ٹیسٹنگ
- کہ
- ۔
- ان
- تو
- وہاں.
- یہ
- وہ
- اس
- مکمل
- ان
- خطرہ
- کے ذریعے
- کرنے کے لئے
- اوزار
- ٹریک
- عام طور پر
- آخر میں
- اندراج
- بدقسمتی سے
- جب تک
- اپ ڈیٹ کریں
- زور
- استعمال کی شرائط
- استعمال کیس
- استعمال کیا جاتا ہے
- کا استعمال کرتے ہوئے
- توثیق
- بہت
- نقصان دہ
- خطرے کا سامنا
- تھا
- راستہ..
- اچھا ہے
- جب
- جس
- جبکہ
- گے
- کھڑکیاں
- ساتھ
- کام کر
- کام کرنے والا گروہ
- گا
- سال
- تم
- اور
- زیفیرنیٹ