آرٹسٹ
ایڈوب پوسٹس اسکرپٹ اور پی ڈی ایف دستاویزات کو آن لائن سمجھنے کے لئے استعمال کیے جانے والے گھوسٹ اسکرپٹ ترجمان کی ایک خطرہ گوگل کے سیکیورٹی محقق ، ٹیوس اورمنڈی کی ایک رپورٹ کے بعد ، اور Synopsis کے ایک EMEA انجینئر اسٹیو گیگوری کے ایک پریشان کن بیان کے بعد سامنے آئی ہے۔ چونکہ متعدد پروگراموں اور ڈیٹا بیس میں گوسٹ اسکرپٹ پیج کی وضاحتی زبان کا ترجمان سب سے زیادہ استعمال شدہ نظام ہے ، لہذا اگر اس سے جوڑ لیا گیا تو اس خطرے کا استحصال اور اثر کی ایک وسیع پیمانے پر رینج ہوتی ہے۔
گیگوری کے جاری کردہ بیان کے مطابق ، گھوسٹ اسکرپٹ ایک بہت بڑے پیمانے پر اپنایا گیا تشریحی نظام ہے جو مقامی درخواستوں کے ساتھ ساتھ آن لائن سرور اور ڈیٹا مینجمنٹ کلائنٹ میں استعمال ہوتا ہے تاکہ ایڈوب پوسٹ اسکرپٹ اور پی ڈی ایف فارمیٹ کو سمجھا جا سکے۔ جیمپ اور امیج میگک جیسے مثال کے طور پر وہ نوٹ کرتا ہے وہ ویب کی ترقی کے لئے خاص طور پر پی ڈی ایف کے تناظر میں لازمی ہے۔
اگر گھوسٹ اسکرپٹ کے ذریعہ دریافت شدہ وابستہ استحصال سے فائدہ اٹھایا جاتا ہے تو ، وہ خود کو رازداری کی خلاف ورزی اور اعداد و شمار کی سنگین خلاف ورزی کا ذمہ دار بناتا ہے جس کے ذریعے بدنیتی پر حملہ کرنے والے نجی فائلوں تک رسائی حاصل کرسکتے ہیں۔ گیگویر کا کہنا ہے کہ 'یہ گھوسٹ اسکرپٹ استحصال اوپن سورس سوفٹ ویئر پیکجوں پر منحصر انحصار کی ایک پریمیم مثال ہے ، جہاں کسی بنیادی جز کی انحصار آسانی سے اپ گریڈ نہیں کیا جاسکتا ہے۔ یہاں تک کہ جب کسی CVE سے متعلق کچھ اس طرح سے منسلک ہوتا ہے ، اور ایک فکس دستیاب ہوتا ہے ، تب بھی ایک ثانوی تاخیر ہوگی جب پیکجوں نے اسے اپنے سافٹ ویئر میں شامل کیا ہے جیسے امیج میجک ایک طے شدہ ورژن کے ساتھ جاری کرتا ہے۔
گیگویر کے مطابق ، اس سے دوسرے درجے کی تاخیر کا سبب بنتا ہے کیونکہ اس کی تخفیف کا انحصار براہ راست مصنفین پر ہوتا ہے جیسے ہی یہ مسئلہ پیدا ہوتا ہے جیسے ہی یہ پیدا ہوتا ہے ، لیکن سب سے پہلے ، لیکن اگر یہ حل شدہ اجزاء ویب سرورز پر اپ لوڈ نہیں کیے جاتے ہیں تو خود اس کا کوئی فائدہ نہیں ہوتا ہے۔ اور استعمال کرنے والے ایپلی کیشنز۔ مسائل کو بنیادی طور پر حل کیا جانا چاہئے اور پھر اسے اپ ڈیٹ کرنا چاہئے جہاں وہ براہ راست مؤثر تخفیف کی خاطر استعمال ہو رہے ہیں۔ چونکہ یہ ایک دو قدمی عمل ہے ، لہذا یہ بدنما حملہ آوروں کو ہر وقت مہیا کرسکتا ہے کہ انہیں اس قسم کے خطرے سے دوچار ہونے کی ضرورت ہے۔
تخفیف کے بارے میں کچھ نکات جو ابھی تک گیگوری سے کھڑے ہیں: مختصر مدت میں ، پی ایس ، ای پی ایس ، پی ڈی ایف اور ایکس پی ایس کوڈرز کو بطور ڈیفالٹ غیر فعال کرنا شروع کرنے کا مشورہ صرف دفاع ہے - جب تک کہ کوئی فکس دستیاب نہ ہو۔ تب تک ، اپنے دروازوں پر تالا لگا دیں اور شاید کاغذ کی کاپیاں پڑھیں! ”
