इस सप्ताह जारी किए गए विंडोज, मैक और लिनक्स के लिए Google के Chrome 105 के पहले स्थिर चैनल संस्करण में सॉफ़्टवेयर के पिछले संस्करणों में 24 कमजोरियों के लिए सुधार शामिल थे, जिनमें एक "गंभीर" दोष और आठ जिन्हें कंपनी ने "उच्च" के रूप में दर्जा दिया था। तीव्रता।
Google ने Chrome 105 के साथ जिन सुरक्षा मुद्दों को संबोधित किया उनमें से अधिकांश - नौ - तथाकथित उपयोग-बाद-मुक्त कमजोरियां, या खामियां थीं जो हमलावरों को दुर्भावनापूर्ण कोड, भ्रष्ट डेटा को निष्पादित करने और अन्य दुर्भावनापूर्ण कार्रवाई करने के लिए पहले से मुक्त किए गए मेमोरी स्पेस का उपयोग करने की अनुमति देती हैं। . पैच की गई चार कमजोरियां वेबयूआई और स्क्रीन कैप्चर सहित विभिन्न क्रोम घटकों में ढेर बफर-ओवरफ्लो थीं।
हमलावर अक्सर विभिन्न प्रकार के दुर्भावनापूर्ण उद्देश्यों के लिए बफर ओवरफ्लो का फायदा उठाते हैं, जिसमें यादृच्छिक कोड निष्पादित करना, डेटा को ओवरराइट करना, सिस्टम को क्रैश करना और सेवा से इनकार करने की स्थिति को ट्रिगर करना शामिल है।
क्लिपबोर्ड ओवरराइटिंग
एक मुद्दा जिसे Google ने क्लिपबोर्ड के आसपास के अपडेट केंद्रों में ठीक नहीं किया है। मैलवेयरबाइट्स के अनुसार, जब Google Chrome - या किसी क्रोमियम-आधारित ब्राउज़र - के उपयोगकर्ता किसी वेबसाइट पर जाते हैं, साइट उपयोगकर्ता के OS क्लिपबोर्ड पर अपनी इच्छित किसी भी सामग्री को भेज सकती है, उपयोगकर्ता की अनुमति या किसी इंटरैक्शन के बिना।
मालवेयरबाइट्स ने कहा, "इसका मतलब है कि किसी वेबसाइट पर जाने मात्र से, आपके क्लिपबोर्ड पर मौजूद डेटा आपकी सहमति या जानकारी के बिना ओवरराइट हो सकता है।"
सुरक्षा विक्रेता ने कहा, इसके परिणामस्वरूप उपयोगकर्ताओं का मूल्यवान डेटा खो सकता है जिसे वे काटकर कहीं और चिपकाना चाहते थे, साथ ही हमलावरों को उपयोगकर्ता के सिस्टम पर दुर्भावनापूर्ण कोड डालने का प्रयास करने का मौका भी मिल जाता है। मालवेयरबाइट्स ने कहा कि समस्या क्रोम और क्रोमियम-आधारित ब्राउज़र में उपयोगकर्ताओं के लिए वेबसाइट से सामग्री को उपयोगकर्ता के क्लिपबोर्ड पर कॉपी करने के लिए "Ctrl + C" जैसे विशिष्ट कदम उठाने जैसी किसी भी आवश्यकता की अनुपस्थिति से संबंधित है।
सुरक्षा शोधकर्ता जेफ जॉनसन ने क्रोम के साथ समस्या को एक व्यापक समस्या के हिस्से के रूप में पहचाना जो Safari और Firefox दोनों को प्रभावित करता है भी। उन्होंने इस सप्ताह एक रिपोर्ट में कहा, "क्रोम वर्तमान में सबसे खराब अपराधी है, क्योंकि क्लिपबोर्ड पर लिखने के लिए उपयोगकर्ता के हावभाव की आवश्यकता संस्करण 104 में गलती से टूट गई थी।"
हालाँकि, वास्तविकता यह है कि फ़ायरफ़ॉक्स और सफारी जैसे अन्य ब्राउज़रों के उपयोगकर्ता अपने सिस्टम क्लिपबोर्ड को जितनी आसानी से ओवरराइट कर सकते हैं, उससे कहीं अधिक आसानी से वेबसाइटें लिख सकते हैं, जॉनसन ने कहा। हालाँकि इन दोनों ब्राउज़रों को उपयोगकर्ताओं को वेबसाइट की सामग्री को अपने क्लिपबोर्ड पर कॉपी करने के लिए कुछ कार्रवाई करने की आवश्यकता होती है, लेकिन ये क्रियाएं उनकी कल्पना से कहीं अधिक व्यापक हैं।
उदाहरण के लिए, स्क्रीन पर ध्यान केंद्रित करने, या कीडाउन/कीअप और माउसडाउन/माउसअप दबाने जैसी गतिविधियों के परिणामस्वरूप वेबसाइट की सामग्री उपयोगकर्ता की जानकारी के बिना क्लिपबोर्ड पर कॉपी हो सकती है, जॉनसन ने कहा।
शोधकर्ता ने नोट किया कि क्रोम डेवलपर्स पहले से ही इस मुद्दे से अवगत हैं और इसका समाधान कर रहे हैं। Google ने टिप्पणी के लिए डार्क रीडिंग अनुरोध का तुरंत जवाब नहीं दिया।
डिजिटल शैडोज़ के वरिष्ठ साइबर खतरा विश्लेषक इवान रिघी कहते हैं, "हमलावर उपयोगकर्ताओं के क्लिपबोर्ड पर दुर्भावनापूर्ण लिंक कॉपी करने के लिए इस बग का दुरुपयोग कर सकते हैं, जिसके परिणामस्वरूप उपयोगकर्ता उन लिंक को अपने एड्रेस बार में पेस्ट कर सकते हैं और दुर्भावनापूर्ण साइटों तक पहुंच सकते हैं।"
“एक अन्य तरीके से इस बग का फायदा उठाया जा सकता है, वह है धोखाधड़ीपूर्ण क्रिप्टोकरेंसी लेनदेन करना। रिघी कहते हैं, ''खतरेबाज सोशल इंजीनियरिंग हमलों के साथ मिलकर इस खामी का फायदा उठाकर उपयोगकर्ताओं को लेनदेन के लिए गलत वॉलेट पते दर्ज करा सकते हैं।'' हालाँकि, ऐसे हमलों के सफल होने की संभावना कम है क्योंकि उपयोगकर्ताओं को अपने क्लिपबोर्ड पर रखी गई असामान्य सामग्री पर ध्यान देने की संभावना है, वे कहते हैं।
उपयोग-पश्चात-मुक्त मुद्दों की बहुतायत
इस बीच, एकमात्र गंभीर भेद्यता (CVE-2022-3038) जिसे Google ने Chrome 105 के स्थिर संस्करण के साथ संबोधित किया था, उसकी अपनी प्रोजेक्ट ज़ीरो बग हंटिंग टीम के एक सुरक्षा शोधकर्ता द्वारा रिपोर्ट की गई थी: Google Chrome नेटवर्क सेवा में उपयोग के बाद-मुक्त दोष देता है दूरस्थ हमलावर मनमाना कोड निष्पादित करने का एक तरीका है
या उपयोगकर्ता सिस्टम को किसी हथियारयुक्त वेबसाइट पर जाकर सेवा शर्तों से वंचित करना शुरू कर देता है।
बाहरी बग खोजकर्ताओं और सुरक्षा शोधकर्ताओं ने उन सभी शेष कमजोरियों की सूचना दी जिन्हें Google ने इस सप्ताह Chrome में संबोधित किया है। उनमें से सबसे अधिक परिणामी CVE-2022-3039 प्रतीत होता है, जो WebSQL में एक उच्च-गंभीरता, उपयोगकर्ता-बाद-मुक्त भेद्यता है, जिसे चीन के 360 भेद्यता अनुसंधान संस्थान के दो शोधकर्ताओं ने Google को रिपोर्ट किया है। Google को बग की रिपोर्ट करने के लिए शोधकर्ताओं को $10,000 मिले - जो कि वर्तमान सेट में दी गई सबसे अधिक राशि है।
क्रोम लेआउट में एक और उच्च-प्रभाव, उपयोग-बाद-मुक्त दोष ने उस अज्ञात सुरक्षा शोधकर्ता के लिए $9,000 अर्जित किए, जिसने Google को समस्या की सूचना दी थी। शेष बगों के लिए इनाम $1,000 से $7,500 तक थे। Google ने अभी तक चार बग प्रकटीकरणों के लिए पुरस्कार निर्धारित नहीं किया है।
जैसा कि प्रमुख विक्रेताओं के बीच मानक अभ्यास बन गया है, Google ने कहा कि उसने बग विवरण तक पहुंच को तब तक प्रतिबंधित कर दिया है जब तक कि अधिकांश उपयोगकर्ताओं को क्रोम के नए, स्थिर संस्करण को लागू करने का अवसर नहीं मिलता।
"यदि बग किसी तृतीय-पक्ष लाइब्रेरी में मौजूद है, जिस पर अन्य परियोजनाएं समान रूप से निर्भर हैं, लेकिन अभी तक इसे ठीक नहीं किया गया है, तो हम प्रतिबंध भी बरकरार रखेंगे।" Google ने इस सप्ताह एक ब्लॉग में कहा. माइक्रोसॉफ्ट के एक वरिष्ठ सुरक्षा कार्यकारी ने हाल ही में इसी कारण का इस्तेमाल किया था समझाएं कि माइक्रोसॉफ्ट के बग खुलासे में बहुत कम विवरण क्यों हैं इन दिनों।
जबकि बग फिक्स लगभग निश्चित रूप से प्राथमिक कारण है कि उपयोगकर्ता Chrome 105 के स्थिर संस्करण में अपडेट करना चाहते हैं, नया ब्राउज़र संस्करण कुछ अतिरिक्त सुविधाएँ भी पेश करता है। इसमें शामिल है ऐसी सुविधाएँ जो डेवलपर्स को प्रगतिशील वेब ऐप्स में विंडोज़ नियंत्रण बटन - जैसे बंद करना, अधिकतम करना या छोटा करना - जोड़ने की अनुमति देती हैं, एंड्रॉइड पर क्रोम के लिए एक नया पिक्चर-इन-पिक्चर एपीआई, और क्रोम के नेविगेशन एपीआई में सुधार।
