اسکویڈ ویب پراکسی میں تقریباً 30 سالوں سے پوشیدہ رہنے والی ایک نئی دریافت شدہ سیکیورٹی خامی ایک صارف کو دوسرے صارف کی انٹرنیٹ درخواستوں کے کچھ حصے خفیہ طور پر دیکھنے کی اجازت دے سکتی ہے، ممکنہ طور پر پاس ورڈ، لاگ ان سیشنز، API کیز، اور دیگر حساس معلومات کو بے نقاب کرنا۔
کمزوری، جسے Squidbleed (CVE-2026-47729) کہا جاتا ہے، کو Anthropic's Claude Mythos Preview کی مدد سے دریافت کیا گیا، جسے سیکیورٹی محقق نے دیرینہ بگ کی شناخت میں مدد کرنے کا سہرا دیا۔
Squid ایک مقبول ویب پراکسی ہے جسے کاروبار، اسکول اور دیگر تنظیمیں انٹرنیٹ ٹریفک کو منظم کرنے کے لیے استعمال کرتی ہیں۔
یہ خامی سکویڈ کی بلٹ ان FTP خصوصیت کو متاثر کرتی ہے۔ ایک خاص طور پر تیار کردہ FTP سرور ترتیب دے کر، ایک حملہ آور جس کے پاس پہلے سے ہی اسی پراکسی کو استعمال کرنے کی اجازت ہے وہ Squid کو دوسرے صارف کی سابقہ ویب درخواستوں سے ڈیٹا کے بچ جانے والے ٹکڑوں کو ظاہر کرنے کے لیے دھوکہ دے سکتا ہے۔
ایسا اس لیے ہوتا ہے کہ اسکویڈ کچھ میموری کو دوبارہ استعمال کرنے سے پہلے مکمل طور پر صاف کرنے میں ناکام ہو جاتا ہے، جس سے کسی دوسرے صارف کی معلومات کے چھوٹے چھوٹے ٹکڑے حادثاتی طور پر لیک ہو جاتے ہیں۔
انٹرنیٹ پر تصادفی طور پر کسی کے ذریعے کمزوری کا فائدہ نہیں اٹھایا جا سکتا۔
اس کے بجائے، حملہ آور کے پاس پہلے سے ہی اسی Squid پراکسی تک رسائی ہونی چاہیے اور ایک FTP سرور چلانا چاہیے جس سے پراکسی منسلک ہو سکتی ہے۔ چونکہ FTP سپورٹ بذریعہ ڈیفالٹ فعال ہے، یہ مسئلہ مشترکہ ماحول جیسے دفاتر، اسکولوں، یونیورسٹیوں اور عوامی Wi-Fi نیٹ ورکس میں سب سے زیادہ متعلقہ ہے جہاں ایک سے زیادہ لوگ ایک ہی پراکسی سروس استعمال کرتے ہیں۔
خامی صرف انٹرنیٹ ٹریفک کو متاثر کرتی ہے جسے سکویڈ پڑھنے کے قابل ہے۔
ریگولر HTTPS ویب سائٹس عام طور پر محفوظ ہوتی ہیں کیونکہ ان کا ٹریفک پراکسی سے گزرتے ہی انکرپٹڈ رہتا ہے۔ تاہم، کمزوری غیر مرموز HTTP ٹریفک یا HTTPS ٹریفک کو ایسے ماحول میں بے نقاب کر سکتی ہے جہاں پراکسی کو محفوظ کنکشن کو ڈکرپٹ اور معائنہ کرنے کے لیے ترتیب دیا گیا ہے۔
ٹریفک پر منحصر ہے، لیک ہونے والی معلومات میں صارف کے نام، پاس ورڈ، سیشن کوکیز، تصدیقی ٹوکن، API کیز، اور دیگر حساس ڈیٹا شامل ہو سکتا ہے۔
کمزوری کو 6.5 کے CVSS سکور کے ساتھ اعتدال پسند شدت کی درجہ بندی ملی ہے۔
اگرچہ ایک حملہ آور کو متاثرہ پراکسی تک درست رسائی کی ضرورت ہوتی ہے، لیکن متاثرین کو اپنی معلومات کو سامنے لانے کے لیے کسی بھی چیز پر کلک کرنے یا کوئی کارروائی کرنے کی ضرورت نہیں ہے۔
خامی صرف معلومات کو دیکھنے کی اجازت دیتی ہے۔ اسے ڈیٹا میں ترمیم کرنے یا پراکسی سرور کو کریش کرنے کے لیے استعمال نہیں کیا جا سکتا۔
اسکویڈ کا کون سا ورژن اس خطرے کو مکمل طور پر ٹھیک کرتا ہے اس پر کچھ الجھن پیدا ہوگئی ہے۔
اسکویڈ کے ایک ڈویلپر نے ابتدائی طور پر کہا کہ پیچ کو ورژن 7.6 میں شامل کیا گیا تھا اس سے پہلے کہ بعد میں یہ بتائے کہ یہ ورژن 7.7 میں آئے گا۔ تاہم، ایک ڈیبین سیکیورٹی ڈویلپر نے نوٹ کیا کہ ایسا لگتا ہے کہ یہ فکس اسکویڈ 7.6 میں پہلے سے موجود ہے۔
اس غیر یقینی صورتحال کی وجہ سے، منتظمین کو اس بات کی تصدیق کرنی چاہیے کہ ان کے نصب کردہ پیکیج میں صرف ورژن نمبر پر انحصار کرنے کے بجائے سیکیورٹی پیچ شامل ہے۔ کچھ لینکس ڈسٹری بیوشنز بیک پورٹڈ سیکیورٹی اپ ڈیٹس کے ذریعے بھی فکس فراہم کر سکتی ہیں، چاہے وہ پرانی اسکویڈ ریلیز کا استعمال کریں۔
Squid 7.6 CVE-2026-50012 کے بطور ٹریک کردہ غیر متعلقہ میموری بدعنوانی کے خطرے کو بھی ٹھیک کرتا ہے۔
محققین FTP سپورٹ کو غیر فعال کرنے کی تجویز کرتے ہیں اگر اس کی ضرورت نہیں ہے۔
زیادہ تر جدید ویب براؤزرز نے برسوں پہلے FTP کو سپورٹ کرنا بند کر دیا تھا، اور بہت سی تنظیمیں اب پروٹوکول پر بھروسہ نہیں کرتی ہیں۔ FTP کو غیر فعال کرنا Squidbleed کے ذریعے استعمال ہونے والے حملے کے راستے کو ہٹا دیتا ہے، قطع نظر اس سے کہ تازہ ترین سافٹ ویئر اپ ڈیٹ انسٹال کیا گیا ہے۔
جہاں آپ چاہیں تازہ ترین ٹیک خبریں، ٹیلی کام کی بصیرتیں، اور پروڈکٹ لانچ حاصل کریں۔
ProPakistani کو ترجیحی ذرائع میں شامل کریں اور گوگل سرچ اور ٹاپ اسٹوریز میں ہماری مزید کہانیاں دیکھیں۔
شیئرز
