Google ने Chrome के लिए 2023 का आठवां ज़ीरो-डे पैच जारी किया

Google ने Chrome के लिए 2023 का आठवां ज़ीरो-डे पैच जारी किया

समय टिकट: 22 दिसंबर, 2023 1:00 अपराह्न
Google ने क्रोम प्लेटोब्लॉकचेन डेटा इंटेलिजेंस के लिए 2023 का आठवां जीरो-डे पैच जारी किया। लंबवत खोज. ऐ.

Google ने क्रोम में हाल ही में खोजी गई भेद्यता को संबोधित करने के लिए एक तत्काल अपडेट जारी किया है, जिसका सक्रिय रूप से शोषण किया जा रहा है, जो 2023 में ब्राउज़र के लिए पहचानी गई आठवीं शून्य-दिन की भेद्यता को चिह्नित करता है।

के रूप में पहचान CVE-2023-7024, Google ने कहा कि भेद्यता Chrome के WebRTC मॉड्यूल के भीतर एक महत्वपूर्ण हीप बफर ओवरफ़्लो दोष है जो रिमोट कोड निष्पादन (RCE) की अनुमति देता है।

WebRTC एक ओपन सोर्स पहल है जो एपीआई के माध्यम से वास्तविक समय संचार को सक्षम करती है, और इसे अग्रणी ब्राउज़र निर्माताओं के बीच व्यापक समर्थन प्राप्त है।

CVE-2023-7024 क्रोम उपयोगकर्ताओं को कैसे धमकाता है

मेनलो सिक्योरिटी के मुख्य सुरक्षा वास्तुकार लियोनेल लिट्टी बताते हैं कि शोषण से होने वाला जोखिम रेंडरर प्रक्रिया में आरसीई प्राप्त करने की क्षमता है। इसका मतलब यह है कि एक खराब अभिनेता जावास्क्रिप्ट सैंडबॉक्स के बाहर, उपयोगकर्ता की मशीन पर मनमाना बाइनरी कोड चला सकता है।

हालाँकि, वास्तविक क्षति शोषण श्रृंखला में पहले चरण के रूप में बग का उपयोग करने पर निर्भर करती है; वास्तव में खतरनाक होने के लिए इसे क्रोम या ओएस में सैंडबॉक्स एस्केप भेद्यता के साथ जोड़ा जाना चाहिए।

लिट्टी का कहना है, "हालांकि क्रोम के मल्टीप्रोसेस आर्किटेक्चर के कारण यह कोड अभी भी सैंडबॉक्स में है," इसलिए इस भेद्यता के साथ कोई हमलावर उपयोगकर्ता की फ़ाइलों तक नहीं पहुंच सकता है या मैलवेयर तैनात करना शुरू नहीं कर सकता है, और टैब प्रभावित होने पर मशीन पर उनकी पकड़ खत्म हो जाती है। बंद किया हुआ।"

वह बताते हैं कि क्रोम की साइट आइसोलेशन सुविधा आम तौर पर अन्य साइटों से डेटा की रक्षा करेगी, इसलिए कोई हमलावर पीड़ित की बैंकिंग जानकारी को लक्षित नहीं कर सकता है, हालांकि वह कहते हैं कि यहां कुछ सूक्ष्म चेतावनी हैं।

उदाहरण के लिए, यदि वे एक ही साइट का उपयोग करते हैं, तो यह एक लक्ष्य मूल को दुर्भावनापूर्ण मूल में उजागर करेगा: दूसरे शब्दों में, एक काल्पनिक Malcious.shared.com, विक्टिम.shared.com को लक्षित कर सकता है।

"हालांकि माइक्रोफ़ोन या कैमरे तक पहुंच के लिए उपयोगकर्ता की सहमति की आवश्यकता होती है, WebRTC तक पहुंच के लिए ऐसा नहीं होता है," लिट्टी बताते हैं। "यह संभव है कि इस भेद्यता को दुर्भावनापूर्ण पृष्ठ पर जाने के अलावा किसी भी उपयोगकर्ता इनपुट की आवश्यकता के बिना किसी भी वेबसाइट द्वारा लक्षित किया जा सकता है, इसलिए इस दृष्टिकोण से खतरा महत्वपूर्ण है।"

क्वालिस थ्रेट रिसर्च यूनिट के प्रमुख ख़तरा ख़ुफ़िया विश्लेषक ऑब्रे पेरिन का कहना है कि बग की पहुंच Google Chrome से आगे तक फैली हुई है।

वे कहते हैं, "क्रोम का शोषण इसकी सर्वव्यापकता से जुड़ा हुआ है - यहां तक ​​कि माइक्रोसॉफ्ट एज भी क्रोमियम का उपयोग करता है।" "तो, क्रोम का शोषण संभावित रूप से एज उपयोगकर्ताओं को भी लक्षित कर सकता है और बुरे कलाकारों को व्यापक पहुंच प्रदान कर सकता है।"

और यह ध्यान दिया जाना चाहिए कि क्रोम का उपयोग करने वाले एंड्रॉइड मोबाइल उपकरणों की अपनी जोखिम प्रोफ़ाइल होती है; वे कुछ परिदृश्यों में एक ही रेंडरर प्रक्रिया में कई साइटें डालते हैं, खासकर उन उपकरणों पर जिनमें बहुत अधिक रैम नहीं होती है।

ब्राउज़र शीर्ष साइबर हमले का लक्ष्य बने हुए हैं

प्रमुख ब्राउज़र विक्रेताओं ने हाल ही में शून्य-दिन बग की बढ़ती संख्या की सूचना दी है - अकेले Google ने रिपोर्ट की है अगस्त से पांच.

Apple, Microsoft और Firefox उन अन्य कंपनियों में से हैं जिन्होंने इसका खुलासा किया है गंभीर कमजोरियों की श्रृंखला उनके ब्राउज़र में, कुछ शून्य-दिनों सहित।

डेलिनिया के मुख्य सुरक्षा वैज्ञानिक और सलाहकार सीआईएसओ जोसेफ कार्सन का कहना है कि इसमें कोई आश्चर्य की बात नहीं है कि सरकार प्रायोजित हैकर और साइबर अपराधी लोकप्रिय सॉफ्टवेयर को निशाना बनाते हैं और लगातार कमजोरियों का फायदा उठाने की तलाश में रहते हैं।

वे कहते हैं, "सॉफ्टवेयर के व्यापक उपयोग, कई प्लेटफार्मों, उच्च-मूल्य वाले लक्ष्यों के कारण यह आम तौर पर बड़े हमले की सतह की ओर ले जाता है और आमतौर पर आपूर्ति श्रृंखला हमलों के लिए द्वार खोलता है।"

उन्होंने नोट किया कि इस प्रकार की कमजोरियों के कारण कई उपयोगकर्ताओं को कमजोर सिस्टम को अपडेट करने और पैच करने में भी समय लगता है।

कार्सन का कहना है, "इसलिए, हमलावर आने वाले कई महीनों तक इन कमजोर प्रणालियों को निशाना बना सकते हैं।"

वह कहते हैं, "चूंकि इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है, इसका मतलब यह हो सकता है कि कई उपयोगकर्ताओं के सिस्टम से पहले ही समझौता किया जा चुका है और उन उपकरणों की पहचान करने में सक्षम होना महत्वपूर्ण होगा जिन्हें लक्षित किया गया है और उन सिस्टम को जल्दी से पैच करना है।"

परिणामस्वरूप, कार्सन नोट करते हैं, संगठनों को किसी भी जोखिम या संभावित भौतिक प्रभाव को निर्धारित करने के लिए इस भेद्यता के साथ संवेदनशील प्रणालियों की जांच करनी चाहिए।

समय टिकट:

से अधिक डार्क रीडिंग