Google ने क्रोम में हाल ही में खोजी गई भेद्यता को संबोधित करने के लिए एक तत्काल अपडेट जारी किया है, जिसका सक्रिय रूप से शोषण किया जा रहा है, जो 2023 में ब्राउज़र के लिए पहचानी गई आठवीं शून्य-दिन की भेद्यता को चिह्नित करता है।
के रूप में पहचान CVE-2023-7024, Google ने कहा कि भेद्यता Chrome के WebRTC मॉड्यूल के भीतर एक महत्वपूर्ण हीप बफर ओवरफ़्लो दोष है जो रिमोट कोड निष्पादन (RCE) की अनुमति देता है।
WebRTC एक ओपन सोर्स पहल है जो एपीआई के माध्यम से वास्तविक समय संचार को सक्षम करती है, और इसे अग्रणी ब्राउज़र निर्माताओं के बीच व्यापक समर्थन प्राप्त है।
CVE-2023-7024 क्रोम उपयोगकर्ताओं को कैसे धमकाता है
मेनलो सिक्योरिटी के मुख्य सुरक्षा वास्तुकार लियोनेल लिट्टी बताते हैं कि शोषण से होने वाला जोखिम रेंडरर प्रक्रिया में आरसीई प्राप्त करने की क्षमता है। इसका मतलब यह है कि एक खराब अभिनेता जावास्क्रिप्ट सैंडबॉक्स के बाहर, उपयोगकर्ता की मशीन पर मनमाना बाइनरी कोड चला सकता है।
हालाँकि, वास्तविक क्षति शोषण श्रृंखला में पहले चरण के रूप में बग का उपयोग करने पर निर्भर करती है; वास्तव में खतरनाक होने के लिए इसे क्रोम या ओएस में सैंडबॉक्स एस्केप भेद्यता के साथ जोड़ा जाना चाहिए।
लिट्टी का कहना है, "हालांकि क्रोम के मल्टीप्रोसेस आर्किटेक्चर के कारण यह कोड अभी भी सैंडबॉक्स में है," इसलिए इस भेद्यता के साथ कोई हमलावर उपयोगकर्ता की फ़ाइलों तक नहीं पहुंच सकता है या मैलवेयर तैनात करना शुरू नहीं कर सकता है, और टैब प्रभावित होने पर मशीन पर उनकी पकड़ खत्म हो जाती है। बंद किया हुआ।"
वह बताते हैं कि क्रोम की साइट आइसोलेशन सुविधा आम तौर पर अन्य साइटों से डेटा की रक्षा करेगी, इसलिए कोई हमलावर पीड़ित की बैंकिंग जानकारी को लक्षित नहीं कर सकता है, हालांकि वह कहते हैं कि यहां कुछ सूक्ष्म चेतावनी हैं।
उदाहरण के लिए, यदि वे एक ही साइट का उपयोग करते हैं, तो यह एक लक्ष्य मूल को दुर्भावनापूर्ण मूल में उजागर करेगा: दूसरे शब्दों में, एक काल्पनिक Malcious.shared.com, विक्टिम.shared.com को लक्षित कर सकता है।
"हालांकि माइक्रोफ़ोन या कैमरे तक पहुंच के लिए उपयोगकर्ता की सहमति की आवश्यकता होती है, WebRTC तक पहुंच के लिए ऐसा नहीं होता है," लिट्टी बताते हैं। "यह संभव है कि इस भेद्यता को दुर्भावनापूर्ण पृष्ठ पर जाने के अलावा किसी भी उपयोगकर्ता इनपुट की आवश्यकता के बिना किसी भी वेबसाइट द्वारा लक्षित किया जा सकता है, इसलिए इस दृष्टिकोण से खतरा महत्वपूर्ण है।"
क्वालिस थ्रेट रिसर्च यूनिट के प्रमुख ख़तरा ख़ुफ़िया विश्लेषक ऑब्रे पेरिन का कहना है कि बग की पहुंच Google Chrome से आगे तक फैली हुई है।
वे कहते हैं, "क्रोम का शोषण इसकी सर्वव्यापकता से जुड़ा हुआ है - यहां तक कि माइक्रोसॉफ्ट एज भी क्रोमियम का उपयोग करता है।" "तो, क्रोम का शोषण संभावित रूप से एज उपयोगकर्ताओं को भी लक्षित कर सकता है और बुरे कलाकारों को व्यापक पहुंच प्रदान कर सकता है।"
और यह ध्यान दिया जाना चाहिए कि क्रोम का उपयोग करने वाले एंड्रॉइड मोबाइल उपकरणों की अपनी जोखिम प्रोफ़ाइल होती है; वे कुछ परिदृश्यों में एक ही रेंडरर प्रक्रिया में कई साइटें डालते हैं, खासकर उन उपकरणों पर जिनमें बहुत अधिक रैम नहीं होती है।
ब्राउज़र शीर्ष साइबर हमले का लक्ष्य बने हुए हैं
प्रमुख ब्राउज़र विक्रेताओं ने हाल ही में शून्य-दिन बग की बढ़ती संख्या की सूचना दी है - अकेले Google ने रिपोर्ट की है अगस्त से पांच.
Apple, Microsoft और Firefox उन अन्य कंपनियों में से हैं जिन्होंने इसका खुलासा किया है गंभीर कमजोरियों की श्रृंखला उनके ब्राउज़र में, कुछ शून्य-दिनों सहित।
डेलिनिया के मुख्य सुरक्षा वैज्ञानिक और सलाहकार सीआईएसओ जोसेफ कार्सन का कहना है कि इसमें कोई आश्चर्य की बात नहीं है कि सरकार प्रायोजित हैकर और साइबर अपराधी लोकप्रिय सॉफ्टवेयर को निशाना बनाते हैं और लगातार कमजोरियों का फायदा उठाने की तलाश में रहते हैं।
वे कहते हैं, "सॉफ्टवेयर के व्यापक उपयोग, कई प्लेटफार्मों, उच्च-मूल्य वाले लक्ष्यों के कारण यह आम तौर पर बड़े हमले की सतह की ओर ले जाता है और आमतौर पर आपूर्ति श्रृंखला हमलों के लिए द्वार खोलता है।"
उन्होंने नोट किया कि इस प्रकार की कमजोरियों के कारण कई उपयोगकर्ताओं को कमजोर सिस्टम को अपडेट करने और पैच करने में भी समय लगता है।
कार्सन का कहना है, "इसलिए, हमलावर आने वाले कई महीनों तक इन कमजोर प्रणालियों को निशाना बना सकते हैं।"
वह कहते हैं, "चूंकि इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है, इसका मतलब यह हो सकता है कि कई उपयोगकर्ताओं के सिस्टम से पहले ही समझौता किया जा चुका है और उन उपकरणों की पहचान करने में सक्षम होना महत्वपूर्ण होगा जिन्हें लक्षित किया गया है और उन सिस्टम को जल्दी से पैच करना है।"
परिणामस्वरूप, कार्सन नोट करते हैं, संगठनों को किसी भी जोखिम या संभावित भौतिक प्रभाव को निर्धारित करने के लिए इस भेद्यता के साथ संवेदनशील प्रणालियों की जांच करनी चाहिए।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- :हैस
- :है
- :नहीं
- 2023
- 7
- a
- क्षमता
- योग्य
- पहुँच
- पाना
- सक्रिय
- सक्रिय रूप से
- अभिनेताओं
- पता
- जोड़ता है
- सलाहकार
- अनुमति देना
- की अनुमति देता है
- अकेला
- पहले ही
- भी
- हालांकि
- के बीच में
- an
- विश्लेषक
- और
- एंड्रॉयड
- कोई
- एपीआई
- स्थापत्य
- हैं
- AS
- At
- आक्रमण
- आक्रमण
- दूर
- बुरा
- बैंकिंग
- BE
- किया गया
- जा रहा है
- परे
- ब्राउज़र
- ब्राउज़रों
- बफर
- बफर अतिप्रवाह
- दोष
- कीड़े
- by
- कैमरा
- कर सकते हैं
- नही सकता
- श्रृंखला
- प्रमुख
- Chrome
- क्रोमियम
- सीआईएसओ
- बंद
- कोड
- COM
- संयुक्त
- कैसे
- संचार
- छेड़छाड़ की गई
- सहमति
- निरंतर
- सका
- महत्वपूर्ण
- साइबर हमला
- साइबर अपराधी
- क्षति
- खतरनाक
- तिथि
- तैनाती
- निर्धारित करना
- डिवाइस
- की खोज
- do
- कर देता है
- द्वारा
- दो
- Edge
- आठवाँ
- भी
- समर्थकारी
- बच
- विशेष रूप से
- और भी
- उदाहरण
- निष्पादन
- बताते हैं
- शोषण करना
- शोषण
- शोषित
- शोषण
- फैली
- Feature
- फ़ाइलें
- Firefox
- प्रथम
- दोष
- के लिए
- से
- आम तौर पर
- चला जाता है
- गूगल
- Google Chrome
- सरकार
- सरकार प्रायोजित
- बढ़ रहा है
- हैकर्स
- है
- he
- यहाँ उत्पन्न करें
- एचटीएमएल
- HTTPS
- पहचान
- पहचान करना
- if
- प्रभाव
- असर पड़ा
- महत्वपूर्ण
- in
- अन्य में
- सहित
- करें-
- पहल
- निवेश
- बुद्धि
- जांच
- अलगाव
- जारी किए गए
- IT
- आईटी इस
- खुद
- जावास्क्रिप्ट
- जेपीजी
- केवल
- बड़ा
- नेतृत्व
- प्रमुख
- बिक्रीसूत्र
- संभावित
- लॉट
- मशीन
- निर्माताओं
- मैलवेयर
- बहुत
- अंकन
- सामग्री
- साधन
- माइक्रोफोन
- माइक्रोसॉफ्ट
- Microsoft Edge
- मोबाइल
- मोबाइल उपकरणों
- मॉड्यूल
- महीने
- विभिन्न
- की जरूरत है
- नहीं
- विख्यात
- नोट्स
- संख्या
- of
- on
- खुला
- खुला स्रोत
- खोलता है
- or
- संगठनों
- मूल
- OS
- अन्य
- अन्य
- आउट
- बाहर
- अपना
- पृष्ठ
- पैच
- परिप्रेक्ष्य
- प्लेटफार्म
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- अंक
- लोकप्रिय
- संभव
- संभावित
- संभावित
- प्रक्रिया
- प्रोफाइल
- रक्षा करना
- रखना
- जल्दी से
- रैम
- पहुंच
- वास्तविक
- वास्तविक समय
- हाल ही में
- विज्ञप्ति
- रहना
- दूरस्थ
- की सूचना दी
- की आवश्यकता होती है
- अनुसंधान
- परिणाम
- जोखिम
- जोखिम
- रन
- s
- कहा
- वही
- सैंडबॉक्स
- कहते हैं
- परिदृश्यों
- वैज्ञानिक
- खोज
- सुरक्षा
- संवेदनशील
- साझा
- चाहिए
- महत्वपूर्ण
- के बाद से
- साइट
- साइटें
- So
- सॉफ्टवेयर
- कुछ
- स्रोत
- प्रायोजित
- प्रारंभ
- कदम
- फिर भी
- आपूर्ति
- आपूर्ति श्रृंखला
- समर्थन
- सतह
- आश्चर्य
- सिस्टम
- लेना
- लक्ष्य
- लक्षित
- लक्ष्य
- कि
- RSI
- लेकिन हाल ही
- वहाँ।
- इसलिये
- इन
- वे
- इसका
- उन
- हालांकि?
- धमकी
- की धमकी
- यहाँ
- बंधा होना
- पहर
- सेवा मेरे
- ऊपर का
- वास्तव में
- प्रकार
- आम तौर पर
- के अंतर्गत
- इकाई
- अपडेट
- अति आवश्यक
- प्रयोग
- उपयोग
- उपयोगकर्ता
- उपयोगकर्ताओं
- का उपयोग करता है
- का उपयोग
- आमतौर पर
- विक्रेताओं
- शिकार
- कमजोरियों
- भेद्यता
- चपेट में
- वेबसाइट
- कब
- जब
- व्यापक
- बड़े पैमाने पर
- जंगली
- मर्जी
- साथ में
- अंदर
- बिना
- शब्द
- होगा
- जेफिरनेट