गूगल का नवीनतम क्रोम ब्राउज़र, 105 संस्करण, बाहर है, हालांकि पूर्ण संस्करण संख्या इस पर निर्भर करती है कि आप विंडोज, मैक या लिनक्स पर हैं या नहीं।
यूनिक्स जैसी प्रणालियों (मैक और लिनक्स) पर, आप चाहते हैं 105.0.5195.52, लेकिन विंडोज़ पर, आप ढूंढ रहे हैं 105.0.5195.54.
Google के अनुसार, इस नए संस्करण में 24 सुरक्षा सुधार शामिल हैं, हालांकि उनमें से किसी को भी "इन-द-वाइल्ड" के रूप में रिपोर्ट नहीं किया गया है, जिसका अर्थ है कि इस बार कोई शून्य-दिन पैच नहीं किया गया था।
फिर भी, एक भेद्यता है जिसे डब किया गया है आलोचनात्मक, और एक और आठ रेटेड हाई.
ठीक की गई खामियों में से, उनमें से आधे से अधिक स्मृति कुप्रबंधन के लिए नीचे हैं, नौ के रूप में सूचीबद्ध हैं का उपयोग के बाद नि: शुल्क कीड़े, और चार as ढेर बफर अतिप्रवाह.
मेमोरी बग प्रकार समझाया गया
A का उपयोग के बाद नि: शुल्क यह वही है जो यह कहता है: आप प्रोग्राम के दूसरे भाग के लिए इसे मुक्त करने के लिए स्मृति वापस सौंपते हैं, लेकिन फिर भी इसका उपयोग करते रहें, इस प्रकार संभावित रूप से आपके ऐप के सही संचालन में हस्तक्षेप करते हैं।
उदाहरण के लिए, कल्पना करें कि प्रोग्राम का वह हिस्सा जो सोचता है कि अब उसकी स्मृति के अपमानजनक ब्लॉक तक एकमात्र पहुंच है, कुछ अविश्वसनीय इनपुट प्राप्त करता है, और ध्यान से सत्यापित करता है कि नया डेटा उपयोग करने के लिए सुरक्षित है ...
लेकिन फिर, उस मान्य इनपुट का उपयोग शुरू करने से पहले, आपका बग्गी "उपयोग-बाद-मुक्त" कोड हस्तक्षेप करता है, और स्मृति के उसी हिस्से में पुराने, असुरक्षित डेटा को इंजेक्ट करता है।
अचानक, प्रोग्राम में कहीं और बग-मुक्त कोड व्यवहार करता है जैसे कि यह स्वयं छोटी गाड़ी थी, आपके कोड में दोष के लिए धन्यवाद जो स्मृति में जो कुछ भी था उसे अमान्य कर दिया।
हमलावर जो आपके कोड के अप्रत्याशित हस्तक्षेप के समय में हेरफेर करने का एक तरीका समझ सकते हैं, वे न केवल इच्छा पर प्रोग्राम को क्रैश करने में सक्षम हो सकते हैं, बल्कि इससे नियंत्रण भी छीन सकते हैं, इस प्रकार इसे किस रूप में जाना जाता है रिमोट कोड निष्पादन.
और ए ढेर बफर अतिप्रवाह एक बग को संदर्भित करता है जहां आप मूल रूप से आपको आवंटित किए गए स्थान में फिट होने की तुलना में स्मृति में अधिक डेटा लिखते हैं। (ढेर मेमोरी ब्लॉक के संग्रह के लिए शब्दजाल शब्द है जिसे वर्तमान में सिस्टम द्वारा प्रबंधित किया जा रहा है।)
यदि प्रोग्राम के किसी अन्य भाग में मेमोरी ब्लॉक है जो ढेर में आपके पास या उसके बगल में होता है, तो आपके द्वारा अभी लिखा गया अनावश्यक डेटा अप्रयुक्त स्थान में हानिरहित रूप से बहता नहीं है।
इसके बजाय, यह उस डेटा को भ्रष्ट कर देगा जो कहीं और सक्रिय उपयोग में है, जो हमारे द्वारा उपयोग-आफ्टर-फ्री बग के लिए वर्णित समान परिणामों के समान है।
"सैनिटाइज़र" प्रणाली
खुशी की बात यह है कि गूगल ने उन गलतफहमियों को ठीक करने के साथ-साथ एक नई सुविधा के आने की घोषणा की है जो बिल्कुल नहीं होनी चाहिए थी। सुरक्षा जोड़ता है ब्राउज़र की खामियों के एक वर्ग के खिलाफ जिसे के रूप में जाना जाता है क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस)।
XSS बग ब्राउज़र द्वारा अविश्वसनीय डेटा डालने के कारण होते हैं, जैसे कि किसी दूरस्थ उपयोगकर्ता द्वारा सबमिट किए गए वेब फ़ॉर्म से, सीधे वर्तमान वेब पेज में, पहले जोखिम भरी सामग्री की जांच (और हटाने) के बिना।
उदाहरण के लिए, कल्पना करें कि आपके पास एक वेब पेज है जो मुझे यह दिखाने की पेशकश करता है कि आपके फंकी नए फॉन्ट में मेरी पसंद की टेक्स्ट स्ट्रिंग कैसी दिखती है।
अगर मैं नमूना पाठ में टाइप करता हूं Cwm fjord bank glyphs vext quiz
(अंग्रेज़ी और वेल्श का एक काल्पनिक लेकिन अस्पष्ट अर्थपूर्ण मैशअप जिसमें केवल 26 अक्षरों में वर्णमाला के सभी 26 अक्षर शामिल हैं, यदि आप सोच रहे थे), तो आपके लिए उस सटीक टेक्स्ट को आपके द्वारा बनाए गए वेब पेज में रखना सुरक्षित है।
जावास्क्रिप्ट में, उदाहरण के लिए, आप वेब पेज के मुख्य भाग को इस तरह से फिर से लिख सकते हैं, जो टेक्स्ट मैंने बिना किसी संशोधन के प्रदान किया है:
document.body.innerHTML = " Cwm fjord Bank Glyphs vext Quiz"
लेकिन अगर मैंने धोखा दिया है, और आपको टेक्स्ट स्ट्रिंग को "डिस्प्ले" करने के लिए कहा है Cwm fjord<script>alert(42)</script>
इसके बजाय, ऐसा करना आपके लिए लापरवाह होगा…
document.body.innerHTML = " सीडब्ल्यूएम fjord alert(42) "
...क्योंकि आप मुझे के अविश्वसनीय जावास्क्रिप्ट कोड को इंजेक्ट करने की अनुमति देंगे my सीधे में चुनना तुंहारे वेब पेज, जहां मेरा कोड आपकी कुकीज़ पढ़ सकता है और डेटा तक पहुंच सकता है जो अन्यथा ऑफ-लिमिट होगा।
तो, जिसे . के रूप में जाना जाता है उसे बनाने के लिए अपने इनपुट को साफ करना आसान, क्रोम ने अब आधिकारिक तौर पर एक नए ब्राउज़र फ़ंक्शन के लिए समर्थन सक्षम किया है जिसे कहा जाता है setHTML()
.
इसका उपयोग नई HTML सामग्री को एक विशेषता के माध्यम से पुश करने के लिए किया जा सकता है जिसे कहा जाता है Sanitizer
पहले, ताकि यदि आप इसके बजाय इस कोड का उपयोग करते हैं…
दस्तावेज़.बॉडी.सेटएचटीएमएल(" सीडब्ल्यूएम fjord alert(42) ")
...फिर Chrome पहले सुरक्षा समस्याओं के लिए प्रस्तावित नई HTML स्ट्रिंग को स्कैन करेगा, और जोखिम पैदा करने वाले किसी भी पाठ को स्वचालित रूप से हटा देगा।
आप इसे के माध्यम से क्रिया में देख सकते हैं डेवलपर उपकरण उपरोक्त चलाकर setHTML()
पर कोड कंसोल प्रॉम्प्ट, और फिर वास्तविक HTML को पुनः प्राप्त करना जो कि में इंजेक्ट किया गया था document.body
चर, जैसा कि हमने यहाँ किया था:
भले ही हम स्पष्ट रूप से a <script>
उस इनपुट में टैग करें जिसे हमने पास किया था setHTML()
फ़ंक्शन, स्क्रिप्ट कोड स्वचालित रूप से बनाए गए आउटपुट से शुद्ध हो गया था।
यदि आपको वास्तव में संभावित खतरनाक टेक्स्ट को HTML तत्व में जोड़ने की आवश्यकता है, तो आप इसमें दूसरा तर्क जोड़ सकते हैं setHTML()
फ़ंक्शन जो ब्लॉक करने या अनुमति देने के लिए विभिन्न प्रकार की जोखिम भरी सामग्री को निर्दिष्ट करता है।
डिफ़ॉल्ट रूप से, यदि यह दूसरा तर्क ऊपर के रूप में छोड़ दिया जाता है, तो सैनिटाइज़र अपने अधिकतम सुरक्षा स्तर पर काम करता है और सभी खतरनाक सामग्री को स्वचालित रूप से शुद्ध करता है जिसके बारे में वह जानता है।
क्या करना है?
- अगर आप क्रोम यूजर हैं। जाँच करें कि आप अप टू डेट हैं . क्लिक करके तीन डॉट्स > मदद > गूगल क्रोम के बारे में, या विशेष URL पर ब्राउज़ करके
chrome://settings/help
. - यदि आप एक वेब प्रोग्रामर हैं। नए के बारे में जानें
Sanitizer
औरsetHTML()
पढ़कर कार्यक्षमता Google की सलाह और एमडीएन वेब डॉक्स.
वैसे, यदि आप Firefox पर हैं, Sanitizer
उपलब्ध है, लेकिन अभी तक डिफ़ॉल्ट रूप से चालू नहीं है। इसके बारे में अधिक जानने के लिए आप इसे चालू कर सकते हैं about:config
और टॉगल कर रहा है dom.security.sanitizer.enabled
विकल्प true
.
- blockchain
- बफर अतिप्रवाह
- Chrome
- कॉइनजीनियस
- क्रिप्टोकुरेंसी वॉलेट्स
- क्रिप्टोकरंसीज
- साइबर सुरक्षा
- साइबर अपराधी
- साइबर सुरक्षा
- घर की भूमि सुरक्षा का विभाग
- डिजिटल पर्स
- फ़ायरवॉल
- गूगल
- Google Chrome
- Kaspersky
- मैलवेयर
- McAfee
- नग्न सुरक्षा
- नेक्सब्लॉक
- प्लेटो
- प्लेटो एआई
- प्लेटो डेटा इंटेलिजेंस
- प्लेटो गेम
- प्लेटोडाटा
- प्लेटोगेमिंग
- प्रक्षालक
- का उपयोग के बाद नि: शुल्क
- वीपीएन
- भेद्यता
- वेबसाइट सुरक्षा
- XSS
- जेफिरनेट