NB پتہ لگانے والے نام آپ چیک کر سکتے ہیں کہ آیا آپ سوفوس کی مصنوعات اور خدمات استعمال کرتے ہیں۔
سے دستیاب ہیں سوفوس ایکس اوپس ٹیم ہماری بہن سائٹ پر سوفوس نیوز.
انٹرنیٹ ٹیلی فونی کمپنی 3CX اپنے صارفین کو خبردار کر رہی ہے۔ میلویئر جو بظاہر سائبر کرائمینلز کے ذریعہ کمپنی کی اپنی 3CX ڈیسک ٹاپ ایپ میں بند کر دی گئی تھی جنہوں نے ایسا لگتا ہے کہ 3CX کے سورس کوڈ کے ذخیروں میں سے ایک یا زیادہ تک رسائی حاصل کر لی ہے۔
جیسا کہ آپ تصور کر سکتے ہیں، یہ دیکھتے ہوئے کہ کمپنی نہ صرف یہ جاننے کے لیے کہ کیا ہوا ہے، بلکہ اس کی مرمت اور دستاویز کرنے کے لیے بھی کوشش کر رہی ہے کہ کیا غلط ہوا، 3CX کے پاس ابھی تک اس واقعے کے بارے میں بتانے کے لیے زیادہ تفصیل نہیں ہے، لیکن یہ اپنے اہلکار کے بالکل اوپر بیان کرتا ہے۔ سیکیورٹی الرٹ:
یہ مسئلہ ان بنڈل لائبریریوں میں سے ایک لگتا ہے جسے ہم نے گٹ کے ذریعے ونڈوز الیکٹران ایپ میں مرتب کیا ہے۔
ہم ابھی بھی اس معاملے پر تحقیق کر رہے ہیں تاکہ آج کے بعد مزید گہرائی سے جواب فراہم کر سکیں [2023-03-30]۔
الیکٹران ایک بڑی اور انتہائی پیچیدہ لیکن انتہائی طاقتور پروگرامنگ ٹول کٹ کا نام ہے جو آپ کو اپنے سافٹ ویئر کے لیے مکمل براؤزر طرز کا فرنٹ اینڈ فراہم کرتا ہے، جو جانے کے لیے تیار ہے۔
مثال کے طور پر، C یا C++ میں اپنے یوزر انٹرفیس کوڈ کو برقرار رکھنے اور ونڈوز پر ایم ایف سی، میک او ایس پر کوکو اور لینکس پر کیو ٹی کے ساتھ براہ راست کام کرنے کے بجائے…
…آپ الیکٹران ٹول کٹ میں بنڈل بناتے ہیں اور اپنی ایپ کا بڑا حصہ JavaScript، HTML اور CSS میں پروگرام کرتے ہیں، گویا آپ ایک ویب سائٹ بنا رہے ہیں جو کسی بھی براؤزر میں کام کرے گی۔
طاقت کے ساتھ ذمہ داری آتی ہے۔
اگر آپ نے کبھی سوچا ہے کہ کیوں مقبول ایپ ڈاؤن لوڈز جیسے کہ ویژول اسٹوڈیو کوڈ، زوم، ٹیمز اور سلیک اتنے ہی بڑے ہیں، تو اس کی وجہ یہ ہے کہ ان سب میں خود ایپ کے لیے بنیادی "پروگرامنگ انجن" کے طور پر الیکٹران کی تعمیر شامل ہے۔
Electron جیسے ٹولز کا اچھا پہلو یہ ہے کہ وہ عام طور پر ایسی ایپس بنانا آسان (اور تیز) بناتے ہیں جو اچھی لگتی ہیں، جو اس طرح کام کرتی ہیں جس سے صارفین واقف ہوں، اور جو ہر مختلف آپریٹنگ سسٹم پر بالکل مختلف برتاؤ نہیں کرتے ہیں۔
برا پہلو یہ ہے کہ جب بھی آپ اپنی ایپ کو دوبارہ بناتے ہیں تو آپ کو اپنے (یا شاید کسی اور کے ذریعہ) سورس کوڈ کے ذخیرے سے بہت زیادہ بنیادی کوڈ کو نیچے کھینچنے کی ضرورت ہوتی ہے، اور یہاں تک کہ معمولی ایپس بھی ڈاؤن لوڈ ہونے پر کئی سو میگا بائٹس سائز میں ختم ہوجاتی ہیں، اور انسٹال ہونے کے بعد اس سے بھی بڑی ہوجاتی ہیں۔
نظریہ میں کم از کم یہ برا ہے۔
واضح طور پر، آپ کی ایپ جتنی بڑی ہوگی، اس کے غلط ہونے کے اتنے ہی زیادہ طریقے ہیں۔
اور جب کہ آپ شاید اس کوڈ سے واقف ہیں جو آپ کی اپنی ایپ کے منفرد حصوں کو بناتا ہے، اور اس میں کوئی شک نہیں کہ آپ ایک ریلیز سے دوسری ریلیز میں ہونے والی تمام تبدیلیوں کا جائزہ لینے کے لیے اچھی طرح سے موجود ہیں، اس بات کا امکان بہت کم ہے کہ آپ کو بنیادی الیکٹران کوڈ سے اسی قسم کی واقفیت حاصل ہو جس پر آپ کی ایپ انحصار کرتی ہے۔
اس لیے اس بات کا امکان نہیں ہے کہ آپ کے پاس ان تمام تبدیلیوں پر توجہ دینے کا وقت ہو جو آپ کی تعمیر کے "بوائلر پلیٹ" الیکٹران حصوں میں اوپن سورس رضاکاروں کی ٹیم کے ذریعے متعارف کروائی گئی ہیں جو خود الیکٹران پروجیکٹ بناتے ہیں۔
اس بڑے بٹ پر حملہ کریں جو کم معروف ہے۔
دوسرے لفظوں میں، اگر آپ الیکٹران کے ذخیرے کی اپنی کاپی اپنے پاس رکھ رہے ہیں، اور حملہ آور آپ کے سورس کوڈ کنٹرول سسٹم میں راستہ تلاش کر لیتے ہیں (3CX کے معاملے میں، وہ بظاہر بہت مقبول استعمال کر رہے ہیں۔ جاؤ اس کے لیے سافٹ ویئر)…
…پھر وہ حملہ آور آپ کے اپنے ملکیتی کوڈ کے ساتھ گڑبڑ کرنے کی بجائے، آپ کے سورس ٹری کے الیکٹران حصے میں اپنے بدنیتی پر مبنی بٹس اور ٹکڑوں کو انجیکشن لگا کر آپ کی ایپ کے اگلے ورژن کو بوبی ٹریپ کرنے کا فیصلہ کر سکتے ہیں۔
بہر حال، آپ شاید الیکٹران کوڈ کو اس وقت تک قدر کی نگاہ سے دیکھتے ہیں جب تک کہ یہ "زیادہ تر پہلے جیسا ہی" نظر آتا ہے، اور آپ کو یقینی طور پر اپنی ٹیم کے کوڈ میں ناپسندیدہ یا غیر متوقع اضافے کو دیکھنے کے لیے تقریباً بہتر طور پر رکھا جائے گا بجائے اس کے کہ ماخذ کوڈ کے بڑے انحصار والے درخت میں جو کسی اور نے لکھا ہو۔
جب آپ اپنی کمپنی کے اپنے کوڈ کا جائزہ لے رہے ہوتے ہیں، تو [A] آپ نے شاید اسے پہلے دیکھا ہوگا، اور [B] آپ نے ان میٹنگز میں شرکت کی ہو گی جن میں تبدیلیاں اب آپ کے مختلف تبادلہ خیال کیا گیا اور اتفاق کیا گیا۔ آپ کے اپنے کوڈ میں ایسی تبدیلیوں کے بارے میں جو درست نظر نہیں آتی ہیں، اور زیادہ ملکیتی – حساس، اگر آپ چاہیں تو – ہونے کا امکان زیادہ ہے۔ یہ ائیرپورٹ پر کرائے کی گاڑی میں روانہ ہونے کے مقابلے میں اپنی گاڑی چلاتے وقت یہ محسوس کرنے کے درمیان فرق جیسا ہی ہے۔ ایسا نہیں ہے کہ آپ کرائے کی کار کی پرواہ نہیں کرتے کیونکہ یہ آپ کی نہیں ہے (ہمیں امید ہے!)، لیکن صرف یہ کہ آپ کی تاریخ ایک جیسی نہیں ہے اور، بہتر لفظ کی ضرورت کے لیے، اس کے ساتھ وہی قربت۔
کیا کیا جائے؟
سیدھے الفاظ میں، اگر آپ ایک ہیں۔ 3CX صارف اور آپ کو ونڈوز یا میک او ایس پر کمپنی کی ڈیسک ٹاپ ایپ مل گئی ہے، آپ کو:
- اسے فوراً اَن انسٹال کریں۔ بوبی ٹریپڈ ورژن میں بدنیتی پر مبنی ایڈ آنز یا تو 3CX سے ایپ کی تازہ ترین انسٹالیشن میں، یا کسی آفیشل اپ ڈیٹ کے سائیڈ ایفیکٹ کے طور پر پہنچ سکتے ہیں۔ میلویئر سے جڑے ورژن بظاہر خود 3CX کے ذریعہ بنائے اور تقسیم کیے گئے تھے، لہذا ان کے پاس ڈیجیٹل دستخط ہیں جن کی آپ کمپنی سے توقع کریں گے، اور وہ تقریباً یقینی طور پر ایک آفیشل 3CX ڈاؤن لوڈ سرور سے آئے ہیں۔ دوسرے لفظوں میں، آپ صرف اس وجہ سے محفوظ نہیں ہیں کہ آپ نے متبادل یا غیر سرکاری ڈاؤن لوڈ سائٹس کو چھوڑ دیا ہے۔ معروف بری پروڈکٹ ورژن نمبرز 3CX کے سیکورٹی الرٹ میں پایا جا سکتا ہے۔
- اپنے کمپیوٹر اور اپنے لاگز کو چیک کریں کہ میلویئر کے بتائے جانے والے نشانات۔ صاف کرنے کے لیے صرف 3CX ایپ کو ہٹانا کافی نہیں ہے، کیونکہ یہ میلویئر (جیسے زیادہ تر عصری میلویئر) خود ہی اضافی میلویئر ڈاؤن لوڈ اور انسٹال کر سکتا ہے۔ آپ مزید پڑھ سکتے ہیں کہ کس طرح میلویئر دراصل کام کرتا ہے۔ ہماری بہن سائٹ، سوفوس نیوز پر، جہاں سوفوس ایکس اوپس شائع ہوا ہے۔ تجزیہ اور مشورہ آپ کے خطرے کے شکار میں آپ کی مدد کرنے کے لیے۔ اس مضمون میں پتہ لگانے والے ناموں کی فہرست بھی دی گئی ہے جو Sophos پروڈکٹس استعمال کریں گے اگر وہ آپ کے نیٹ ورک میں اس حملے کے کسی بھی عنصر کو تلاش کریں اور اسے بلاک کریں۔ آپ بھی تلاش کر سکتے ہیں a مفید فہرست نام نہاد IoCs، یا سمجھوتہ کے اشارے، پر سوفوس لیبز گٹ ہب صفحات IoCs آپ کو بتاتے ہیں کہ ان ثبوتوں کو کیسے تلاش کیا جائے جو آپ پر حملہ کیا گیا تھا، URLs کی شکل میں جو آپ کے لاگز میں ظاہر ہو سکتے ہیں، آپ کے کمپیوٹرز پر تلاش کرنے کے لیے معلوم خراب فائلیں، وغیرہ۔
مزید جاننے کی ضرورت ہے؟ IOCS، تجزیہ اور پتہ لگانے کے ناموں پر نظر رکھیں
- ابھی کے لیے 3CX کی ویب پر مبنی ٹیلی فونی ایپ استعمال کرنے پر سوئچ کریں۔ کمپنی کہتی ہے: "ہم پرزور مشورہ دیتے ہیں کہ آپ اس کے بجائے ہماری پروگریسو ویب ایپ (PWA) استعمال کریں۔ PWA ایپ مکمل طور پر ویب پر مبنی ہے اور Electron ایپ کے کام کا 95% کرتی ہے۔ فائدہ یہ ہے کہ اسے کسی قسم کی انسٹالیشن یا اپ ڈیٹ کرنے کی ضرورت نہیں ہے اور کروم ویب سیکیورٹی خود بخود لاگو ہوجاتی ہے۔
- 3CX سے مزید مشورے کا انتظار کریں کیونکہ کمپنی کو کیا ہوا اس کے بارے میں مزید پتہ چل گیا ہے۔ 3CX نے بظاہر پہلے ہی معلوم خراب URLs کی اطلاع دی ہے جو میلویئر مزید ڈاؤن لوڈز کے لیے استعمال کرتا ہے، اور یہ دعویٰ کرتا ہے کہ "اکثریت [ان ڈومینز] کو راتوں رات اتار لیا گیا تھا۔" کمپنی کا یہ بھی کہنا ہے کہ اس نے اپنی ونڈوز ایپ کی دستیابی کو عارضی طور پر بند کر دیا ہے، اور جلد ہی ایک نئے ورژن کو دوبارہ بنائے گی جس پر نئے ڈیجیٹل دستخط کے ساتھ دستخط کیے گئے ہیں۔ اس کا مطلب ہے کہ کسی بھی پرانے ورژن کو واضح طور پر پرانے دستخطی سرٹیفکیٹ کو بلاک لسٹ کر کے شناخت اور صاف کیا جا سکتا ہے، جو دوبارہ استعمال نہیں کیا جائے گا۔
- اگر آپ کو یقین نہیں ہے کہ کیا کرنا ہے، یا آپ کے پاس خود کرنے کا وقت نہیں ہے، تو مدد کے لیے کال کرنے سے نہ گھبرائیں۔ آپ سوفوس کو پکڑ سکتے ہیں۔ منظم کھوج اور جواب (MDR) یا سوفوس فوری ردعمل (RR) ہماری مرکزی ویب سائٹ کے ذریعے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://nakedsecurity.sophos.com/2023/03/30/supply-chain-blunder-puts-3cx-telephone-app-users-at-risk/
- : ہے
- $UP
- 1
- 95٪
- a
- قابلیت
- ہمارے بارے میں
- مطلق
- تک رسائی حاصل
- حاصل
- اصل میں
- ایڈیشنل
- اضافے
- فائدہ
- مشورہ
- کے بعد
- ہوائی اڈے
- انتباہ
- تمام
- پہلے ہی
- متبادل
- تجزیہ
- اور
- اپلی کیشن
- ایپ ڈاؤن لوڈز
- اطلاقی
- ایپس
- کیا
- مضمون
- AS
- At
- حملہ
- توجہ
- مصنف
- آٹو
- خود کار طریقے سے
- دستیابی
- دستیاب
- پس منظر کی تصویر
- برا
- BE
- کیونکہ
- اس سے پہلے
- بہتر
- کے درمیان
- بگ
- بڑا
- بٹ
- بلاک
- سرحد
- پایان
- براؤزر
- تعمیر
- عمارت
- تعمیر
- بنڈل
- by
- C ++
- فون
- کر سکتے ہیں
- حاصل کر سکتے ہیں
- کار کے
- پرواہ
- کیس
- سینٹر
- یقینی طور پر
- سرٹیفکیٹ
- چین
- تبدیلیاں
- چیک کریں
- کروم
- دعوے
- واضح
- کوڈ
- رنگ
- کمپنی کے
- کمپنی کی
- مکمل طور پر
- کمپیوٹر
- کمپیوٹر
- معاصر
- کنٹرول
- کور
- سکتا ہے
- احاطہ
- CSS
- گاہکوں
- cybercriminals
- فیصلہ کرنا
- انحصار
- گہرائی
- ڈیسک ٹاپ
- تفصیل
- کھوج
- فرق
- مختلف
- ڈیجیٹل
- براہ راست
- بات چیت
- دکھائیں
- تقسیم کئے
- دستاویز
- نہیں کرتا
- ڈومینز
- نہیں
- شک
- نیچے
- ڈاؤن لوڈ، اتارنا
- ڈاؤن لوڈز
- ڈرائیو
- ہر ایک
- آسان
- یا تو
- عناصر
- ورنہ
- کافی
- پوری
- بھی
- کبھی نہیں
- ہر کوئی
- ثبوت
- مثال کے طور پر
- توقع ہے
- واقف
- واقفیت
- اعداد و شمار
- فائلوں
- مل
- پتہ ہے
- کے لئے
- فارم
- ملا
- فاؤنڈیشن
- فاؤنڈیشن کوڈ
- تازہ
- سے
- سامنے
- سامنے کے آخر میں
- مزید
- عام طور پر
- حاصل
- وشال
- جاؤ
- GitHub کے
- دی
- فراہم کرتا ہے
- Go
- اچھا
- عطا کی
- ہوا
- ہے
- اونچائی
- مدد
- تاریخ
- پکڑو
- ہور
- کس طرح
- کیسے
- HTML
- HTTPS
- سینکڑوں
- شکار
- کی نشاندہی
- in
- دیگر میں
- واقعہ
- شامل
- انسٹال
- کے بجائے
- انٹرفیس
- متعارف
- مسئلہ
- IT
- میں
- خود
- جاوا سکرپٹ
- رکھیں
- رکھتے ہوئے
- جان
- بڑے
- لائبریریوں
- کی طرح
- امکان
- فہرستیں
- لانگ
- دیکھو
- دیکھنا
- بہت
- MacOS کے
- مین
- اکثریت
- بنا
- بناتا ہے
- میلویئر
- مارجن
- معاملہ
- زیادہ سے زیادہ چوڑائی
- یمڈیآر
- کا مطلب ہے کہ
- اجلاسوں میں
- شاید
- زیادہ
- سب سے زیادہ
- نام
- نام
- ضرورت ہے
- نیٹ ورک
- نئی
- خبر
- اگلے
- عام
- of
- سرکاری
- پرانا
- on
- ایک
- اوپن سورس
- کام
- آپریٹنگ سسٹم
- دیگر
- رات بھر
- خود
- حصہ
- حصے
- پال
- ادا
- شاید
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- مقبول
- پوزیشن
- مراسلات
- طاقت
- شاید
- مصنوعات
- حاصل
- پروگرام
- پروگرامنگ
- ترقی
- منصوبے
- ملکیت
- فراہم
- شائع
- ڈال
- رکھتا ہے
- QT
- تیز
- پڑھیں
- تیار
- حال ہی میں
- جاری
- کو ہٹانے کے
- مرمت
- اطلاع دی
- ذخیرہ
- کی ضرورت
- جواب
- کا جائزہ لینے کے
- جائزہ لیں
- رسک
- اسی
- کا کہنا ہے کہ
- سیکورٹی
- طلب کرو
- حساس
- مقرر
- کئی
- سیکنڈ اور
- ہونا چاہئے
- دکھائیں
- دستخط
- دستخط
- دستخط کی
- نشانیاں
- صرف
- بہن
- سائٹ
- سائٹس
- سائز
- سست
- So
- سافٹ ویئر کی
- ٹھوس
- کسی
- اسی طرح
- ماخذ
- ماخذ کوڈ
- بات
- کمرشل
- حالت
- ابھی تک
- سختی
- سٹوڈیو
- اس طرح
- فراہمی
- فراہمی کا سلسلہ
- SVG
- کے نظام
- لے لو
- ٹیم
- ٹیموں
- کہ
- ۔
- ان
- لہذا
- یہ
- خطرہ
- وقت
- کرنے کے لئے
- آج
- ٹول کٹ
- اوزار
- سب سے اوپر
- ٹریک
- منتقلی
- شفاف
- عام طور پر
- بنیادی
- غیر متوقع
- منفرد
- ناپسندیدہ
- اپ ڈیٹ کریں
- اپ ڈیٹ
- URL
- استعمال کی شرائط
- رکن کا
- صارف مواجہ
- صارفین
- گاڑی
- ورژن
- کی طرف سے
- رضاکاروں
- انتباہ
- راستہ..
- طریقوں
- ویب
- ویب سیکیورٹی
- ویب پر مبنی ہے
- ویب سائٹ
- اچھا ہے
- کیا
- جس
- جبکہ
- ڈبلیو
- گے
- کھڑکیاں
- ساتھ
- لفظ
- الفاظ
- کام
- کام کر
- گا
- لکھا
- غلط
- اور
- اپنے آپ کو
- زیفیرنیٹ
- زوم