چار دن پہلے، Log4Shell Java استحصال کا پتہ چلا، جس سے ہیکرز کو متن کی ایک بدنیتی پر مبنی سٹرنگ بھیج کر اور فعال کر کے بے نقاب ویب کا سامنا کرنے والے سرورز پر کنٹرول حاصل کرنے کی اجازت دی گئی، جس سے مائیکروسافٹ، NVIDIA، اور Intel جیسے ٹیک جنات کو متاثر کیا گیا۔ یہ استحصال اوپن سورس اپاچی لاگ 4 جے لائبریری میں واقع ہے جو جاوا پر مبنی ایپلی کیشنز کے اندر واقعات اور غلطیوں کو لاگ کرتا ہے۔
Log4J، یا Log4Shell استحصال جاوا پر مبنی سسٹمز پر دور سے حملہ کرتا ہے، جس سے ڈیٹا کے اہم لیکس اور مزید بہت کچھ ہوتا ہے۔
کمزوری ہے، جسے Log4J بھی کہا جاتا ہے، اس کے تحت ٹریک کیا جاتا ہے۔ CVE-2021-44228نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹیکنالوجی، یا NIST کے ذریعہ دیا گیا ہے۔ اس استحصال تک موبائل ڈیوائس، API، یا براؤزر ونڈو کے ذریعے رسائی حاصل کی جا سکتی ہے۔
انٹیل، مائیکروسافٹ، اور NVIDIA جیسی ٹاپ ٹیک کمپنیاں اس انتہائی موثر استحصال سے متاثر ہوئی ہیں۔ انٹیل کے پاس ہے۔ نو درخواستیں جو جاوا کا استعمال کرتے ہیں اور ہیک کا خطرہ رکھتے ہیں۔ فراہم کردہ انٹیل ایپلی کیشنز کی فہرست متاثر ہوئی ہے:
- انٹیل آڈیو ڈویلپمنٹ کٹ
- انٹیل ڈیٹا سینٹر مینیجر
- ایکلیپس کے لیے oneAPI نمونہ براؤزر پلگ ان
- انٹیل سسٹم ڈیبگر
- انٹیل سیکیور ڈیوائس آن بورڈ (GitHub کے)
- انٹیل جینومکس کرنل لائبریری
- انٹیل سسٹم اسٹوڈیو
- کمپیوٹر وژن اینوٹیشن ٹول جو انٹیل کے زیر انتظام ہے۔
- انٹیل سینسر حل فرم ویئر ڈویلپمنٹ کٹ
NVIDIA کی نوعیت اور ان کی ایپلی کیشنز اور خدمات کو مسلسل تازہ ترین ورژنز کے ساتھ اپ ڈیٹ کرنے کی وجہ سے، اس استحصال کا سراغ لگانا بہت مشکل ہے۔ کمپنی اس بات پر غور کرتی ہے کہ سرور مینیجر اپنی مشینوں میں مسلسل تازہ ترین اپ ڈیٹس پیش نہیں کرتے ہیں، اس لیے NVIDIA چار ممکنہ پروڈکٹس کی فہرست بنا رہا ہے جو Log4J سے متاثر ہونے کا زیادہ فیصد ہو سکتے ہیں، خاص طور پر اگر مصنوعات کے ڈرائیور ریلیز کے بعد سے پرانے ہو گئے ہوں۔ :
- CUDA Toolkit Visual Profiler اور Nsight Eclipse Edition
- ڈی جی ایکس سسٹمز
- نیٹ کیو
- vGPU سافٹ ویئر لائسنس سرور
چونکہ NVIDIA کے DGX انٹرپرائز پی سی Ubuntu-Linux OS کے ساتھ پہلے سے لوڈ کیے گئے ہیں اور استحصال کا بھی خطرہ ہیں، اس لیے NVIDIA اپنے سسٹمز کو فوری طور پر اپ ڈیٹ کرنے کے لیے Apache کے Log4J فنکشنلٹی بلاک کو دستی طور پر انسٹال کرنے کے قابل صارفین سے بات کر رہا ہے۔
مائیکروسافٹ کی Azure Spring Cloud اور Azure DevOps ایپلی کیشن ہے۔ دونوں کو باندھ دیا گیا ہے جب سے کمزوری کا پتہ چلا۔ Azure Spring Cloud Log4Shell کے مخصوص عناصر کو استعمال کرتا ہے جو سسٹم کے بوٹ کے عمل میں موجود ہوتے ہیں۔ اس استحصال کی نوعیت کی وجہ سے اگر سسٹم کو اپ ڈیٹ نہ کیا گیا تو وہ کمزور ہو جائیں گے۔
دلچسپ بات یہ ہے کہ AMD Log4J کے استحصال سے محفوظ رہا ہے۔ ان کی مصنوعات کی لائنوں کی ابتدائی تحقیقات کے بعد، AMD نے اعلان کیا کہ کوئی بھی لائن متاثر نہیں ہوئی ہے، لیکن وہ خطرے کی شدت کی وجہ سے اپنی تلاش جاری رکھیں گے۔
پیغام Log4Shell کے استحصال سے AMD پھسل جاتا ہے جیسے کہ انٹیل، مائیکروسافٹ، اور NVIDIA جیسے دیگر اعلی ٹیک جنات کو متاثر کرتا ہے۔ by جیسن آر ولسن پہلے شائع Wccftech.
