Chrome ने 8 का 2022वां जीरो-डे तय किया - अभी अपना संस्करण जांचें प्लेटोब्लॉकचेन डेटा इंटेलिजेंस। लंबवत खोज. ऐ.

Chrome ने 8 का 2022वां शून्य-दिन तय किया - अभी अपना संस्करण जांचें

समय टिकट: 27 नवंबर, 2022 8:42 बजे

by
पॉल डकलिन

Google ने अभी क्रोम के आठवें को पैच किया है शून्य दिन का छेद वर्ष के अब तक।

शून्य-दिन ऐसे बग हैं जिनके लिए शून्य दिन थे जिन्हें आप सक्रिय रूप से अपडेट कर सकते थे...

...क्योंकि साइबर अपराधियों ने न केवल बग को पहले खोजा, बल्कि यह भी पता लगाया कि पैच तैयार करने और प्रकाशित करने से पहले नापाक उद्देश्यों के लिए इसका फायदा कैसे उठाया जाए।

तो, इस आलेख का त्वरित संस्करण है: क्रोम पर जाएं तीन बिंदु वाला मेन्यू (⋮), चुनें मदद > क्रोम के बारे में, और जांचें कि आपके पास संस्करण है 107.0.5304.121 या बाद में।

शून्य-दिनों को उजागर करना

दो दशक पहले, शून्य-दिन अक्सर बहुत जल्दी व्यापक रूप से ज्ञात हो जाते थे, आमतौर पर दो कारणों में से एक (या दोनों) के लिए:

  • बग का फायदा उठाने के लिए एक स्व-फैलाने वाला वायरस या कीड़ा जारी किया गया था। यह न केवल सुरक्षा छेद और इसका दुरुपयोग कैसे किया जा रहा था, पर ध्यान आकर्षित करने के लिए, बल्कि यह भी सुनिश्चित करने के लिए कि शोधकर्ताओं के विश्लेषण के लिए दुर्भावनापूर्ण कोड की स्व-निहित, कार्यशील प्रतियों को दूर-दूर तक नष्ट कर दिया गया।
  • एक कीट-शिकारी पैसा बनाने से प्रेरित नहीं था, उसने नमूना कोड जारी किया और इसके बारे में शेखी बघारी। विरोधाभासी रूप से, शायद, इसने साइबर अपराधियों को तुरंत हमलों में उपयोग करने के लिए "मुफ्त उपहार" सौंपकर सुरक्षा को नुकसान पहुंचाया, और इसे ठीक करने के लिए शोधकर्ताओं और विक्रेताओं को आकर्षित करने, या जल्दी से एक समाधान के साथ आने से सुरक्षा में मदद की।

इन दिनों, शून्य-दिन का खेल कुछ अलग है, क्योंकि समकालीन बचाव सॉफ्टवेयर कमजोरियों का फायदा उठाने के लिए कठिन बनाते हैं।

आज की रक्षात्मक परतों में शामिल हैं: ऑपरेटिंग सिस्टम में स्वयं निर्मित अतिरिक्त सुरक्षा; सुरक्षित सॉफ्टवेयर विकास उपकरण; अधिक सुरक्षित प्रोग्रामिंग भाषाएं और कोडिंग शैलियां; और अधिक शक्तिशाली साइबर खतरा निवारण उपकरण।

उदाहरण के लिए 2000 के दशक की शुरुआत में - सुपर-फास्ट-फैलने वाले वायरस जैसे लाल संहिता और SQL Slammer - लगभग कोई भी स्टैक बफर ओवरफ़्लो, और यदि अधिकांश हीप बफर ओवरफ़्लो नहीं हैं, तो कई को त्वरित क्रम में सैद्धांतिक कमजोरियों से व्यावहारिक कारनामों में बदला जा सकता है।

दूसरे शब्दों में, कारनामों को खोजना और 0-दिनों को "छोड़ना" कभी-कभी लगभग उतना ही सरल था जितना कि पहली जगह में अंतर्निहित बग को खोजना।

और साथ चल रहे कई उपयोगकर्ताओं के साथ Administrator विशेषाधिकार हर समय, काम पर और घर पर, हमलावरों को शायद ही कभी एक संक्रमित कंप्यूटर को पूरी तरह से लेने के लिए एक साथ श्रृंखलाबद्ध शोषण के तरीके खोजने की आवश्यकता होती है।

लेकिन 2020 में, काम करने योग्य रिमोट कोड निष्पादन कारनामे - बग्स (या बग्स की जंजीरें) जिनका उपयोग एक हमलावर भरोसेमंद तरीके से आपके कंप्यूटर पर मालवेयर इम्प्लांट करने के लिए कर सकता है, उदाहरण के लिए, आपको किसी फंसी हुई वेबसाइट पर केवल एक पृष्ठ देखने का लालच देकर - आम तौर पर खोजने में बहुत कठिन होते हैं, और बहुत अधिक मूल्य के होते हैं परिणामस्वरूप साइबरअंडरग्राउंड में अधिक पैसा।

सीधे शब्दों में कहें, जो लोग इन दिनों शून्य-दिन के कारनामे पकड़ लेते हैं, वे अब उनके बारे में डींग नहीं मारते हैं।

वे उन हमलों में उनका उपयोग नहीं करते हैं जो घुसपैठ के "कैसे और क्यों" को स्पष्ट करते हैं, या इससे शोषण कोड के कामकाजी नमूने विश्लेषण और अनुसंधान के लिए आसानी से उपलब्ध हो जाते हैं।

नतीजतन, इन दिनों शून्य-दिनों पर अक्सर ध्यान दिया जाता है, जब एक खतरे की प्रतिक्रिया टीम को एक हमले की जांच करने के लिए बुलाया जाता है जो पहले से ही सफल हो चुका है, लेकिन जहां आम घुसपैठ के तरीके (जैसे फ़िश किए गए पासवर्ड, लापता पैच, या भूले हुए सर्वर) नहीं लगते हैं कारण रहे हैं।

बफर ओवरफ्लो उजागर

इस मामले में, अब आधिकारिक तौर पर नामित CVE-2022-4135, बग सुचित किया गया था Google के अपने थ्रेट एनालिसिस ग्रुप द्वारा, लेकिन सक्रिय रूप से नहीं मिला, यह देखते हुए कि Google मानता है कि यह है "जागरूक है कि एक शोषण [...] जंगली में मौजूद है।"

भेद्यता एक दिया गया है हाई गंभीरता, और बस के रूप में वर्णित है: जीपीयू में हीप बफर ओवरफ्लो.

बफ़र ओवरफ्लो का आम तौर पर मतलब होता है कि प्रोग्राम के एक हिस्से से कोड आधिकारिक तौर पर आवंटित मेमोरी ब्लॉक के बाहर लिखता है, और डेटा पर ट्राम करता है जिसे बाद में प्रोग्राम के किसी अन्य भाग द्वारा भरोसा किया जाएगा (और इसलिए अंतर्निहित रूप से भरोसा किया जाएगा)।

जैसा कि आप कल्पना कर सकते हैं, बहुत कुछ है जो गलत हो सकता है यदि एक बफर ओवरफ्लो को एक कुटिल तरीके से ट्रिगर किया जा सकता है जो तत्काल प्रोग्राम क्रैश से बचा जाता है।

अतिप्रवाह का उपयोग किया जा सकता है, उदाहरण के लिए, एक फ़ाइल नाम को ज़हर देने के लिए जिसे प्रोग्राम का कोई अन्य भाग उपयोग करने वाला है, जिससे यह डेटा वहाँ लिखता है जहाँ इसे नहीं होना चाहिए; या किसी नेटवर्क कनेक्शन के गंतव्य को बदलने के लिए; या यहां तक ​​कि मेमोरी में स्थान बदलने के लिए जिससे प्रोग्राम आगे कोड निष्पादित करेगा।

Google स्पष्ट रूप से यह नहीं कहता है कि इस बग का शोषण कैसे किया जा सकता है (या किया गया है), लेकिन यह मान लेना बुद्धिमानी है कि किसी प्रकार का रिमोट कोड निष्पादन, जो मोटे तौर पर "मैलवेयर के गुप्त आरोपण" का पर्याय है, बग को देखते हुए संभव है स्मृति का कुप्रबंधन शामिल है।

क्या करना है?

क्रोम और क्रोमियम को अपडेट किया जाता है 107.0.5304.121 मैक और लिनक्स पर, और करने के लिए 107.0.5304.121 or 107.0.5304.122 विंडोज पर (नहीं, हम नहीं जानते कि दो अलग-अलग संस्करण क्यों हैं), इसलिए यह जांचना सुनिश्चित करें कि आपके पास संस्करण संख्या उनके बराबर या उससे अधिक हाल की है।

अपने क्रोम संस्करण की जांच करने के लिए, और यदि आप पीछे हैं तो अपडेट को मजबूर करने के लिए, पर जाएं तीन बिंदु वाला मेन्यू (⋮) और चुनें मदद > क्रोम के बारे में.

Microsoft एज, जैसा कि आप शायद जानते हैं, क्रोमियम कोड (क्रोम का ओपन-सोर्स कोर) पर आधारित है, लेकिन Google के खतरे के शोधकर्ताओं द्वारा इस बग को लॉग किए जाने के एक दिन पहले से आधिकारिक अपडेट नहीं मिला है (और इसमें कोई अपडेट नहीं है) जो 2022-11-10 के बाद से किसी भी सुरक्षा सुधार को स्पष्ट रूप से सूचीबद्ध करता है)।

इसलिए, हम आपको यह नहीं बता सकते कि एज प्रभावित है या नहीं, या आपको इस बग के लिए अपडेट की उम्मीद करनी चाहिए या नहीं, लेकिन हम Microsoft की आधिकारिक रिलीज नोट शायद ज़रुरत पड़े।

समय टिकट:

से अधिक नग्न सुरक्षा