گوگل کی تازہ ترین تازہ کاری کروم براؤزر باہر ہے، چار حصوں والے ورژن نمبر کو ٹکرانا 104.0.5112.101 (میک اور لینکس)، یا سے 104.0.5112.102 (ونڈوز)
گوگل کے مطابق، نئے ورژن میں 11 سیکیورٹی اصلاحات شامل ہیں، جن میں سے ایک اس تبصرہ کے ساتھ بیان کیا گیا ہے کہ "ایک استحصال [اس کمزوری کے لیے] جنگلی میں موجود ہے"، اسے صفر دن کا سوراخ بناتا ہے۔
صفر دن کا نام ایک یاد دہانی ہے کہ ایسے صفر دن تھے جن پر سب سے زیادہ باخبر اور فعال صارف یا سیسڈمین کو بھی برے لوگوں سے آگے بڑھایا جا سکتا تھا۔
تفصیلات کو اپ ڈیٹ کریں۔
اپ ڈیٹس کے بارے میں تفصیلات بہت کم ہیں، یہ دیکھتے ہوئے کہ گوگل، ان دنوں بہت سے دوسرے وینڈرز کے ساتھ مشترک ہے، بگ کی تفصیلات تک رسائی کو محدود کرتا ہے۔ "جب تک کہ صارفین کی اکثریت کو درست کرنے کے ساتھ اپ ڈیٹ نہیں کیا جاتا ہے".
لیکن گوگل کا بلیٹن جاری کریں واضح طور پر 10 میں سے 11 کیڑے درج ذیل ہیں:
- CVE-2022-2852: FedCM میں مفت کے بعد استعمال کریں۔
- CVE-2022-2854: SwiftShader میں مفت کے بعد استعمال کریں۔
- CVE-2022-2855: ANGLE میں مفت کے بعد استعمال کریں۔
- CVE-2022-2857: Blink میں مفت کے بعد استعمال کریں۔
- CVE-2022-2858: سائن ان فلو میں مفت کے بعد استعمال کریں۔
- CVE-2022-2853: ڈاؤن لوڈز میں ہیپ بفر اوور فلو۔
- CVE-2022-2856: Intents میں ناقابل اعتماد ان پٹ کی ناکافی توثیق۔ (صفر دن۔)
- CVE-2022-2859: کروم OS شیل میں مفت کے بعد استعمال کریں۔
- CVE-2022-2860: کوکیز میں پالیسی کا نفاذ ناکافی ہے۔
- CVE-2022-2861: ایکسٹینشن API میں نامناسب عمل درآمد۔
جیسا کہ آپ دیکھ سکتے ہیں، ان میں سے سات کیڑے میموری کی خرابی کی وجہ سے ہوئے تھے۔
A استعمال کے بعد مفت کمزوری کا مطلب یہ ہے کہ کروم کے ایک حصے نے ایک میموری بلاک واپس کر دیا جسے وہ مزید استعمال کرنے کا ارادہ نہیں کر رہا تھا، تاکہ اسے سافٹ ویئر میں کہیں اور استعمال کے لیے دوبارہ مختص کیا جا سکے۔
…صرف اس میموری کو بہرحال استعمال کرنے کے لیے، اس طرح ممکنہ طور پر کروم کا ایک حصہ ڈیٹا پر انحصار کرنے کا سبب بنتا ہے جس کے خیال میں اس پر بھروسہ کیا جا سکتا ہے، یہ سمجھے بغیر کہ سافٹ ویئر کا دوسرا حصہ اس ڈیٹا کے ساتھ چھیڑ چھاڑ کر رہا ہے۔
اکثر، اس قسم کے کیڑے کی وجہ سے سافٹ ویئر مکمل طور پر کریش ہو جاتا ہے، حساب میں گڑبڑ کر کے یا میموری تک رسائی کو ناقابل بازیافت طریقے سے۔
تاہم، بعض اوقات، سافٹ ویئر کو غلط سمت میں بھیجنے کے لیے جان بوجھ کر استعمال کے بعد کیڑے کو متحرک کیا جا سکتا ہے تاکہ یہ غلط برتاؤ کرے (مثال کے طور پر سیکیورٹی چیک کو چھوڑ کر، یا ان پٹ ڈیٹا کے غلط بلاک پر بھروسہ کرکے) اور غیر مجاز رویے کو اکسائیں۔
A ہیپ بفر اوور فلو یعنی میموری کا ایک بلاک مانگنا، لیکن اس میں محفوظ طریقے سے فٹ ہونے سے زیادہ ڈیٹا لکھنا۔
یہ باضابطہ طور پر مختص کردہ بفر کو اوور فلو کرتا ہے اور میموری کے اگلے بلاک میں ڈیٹا کو اوور رائٹ کرتا ہے، حالانکہ وہ میموری پہلے سے ہی پروگرام کے کسی دوسرے حصے کے استعمال میں ہو سکتی ہے۔
بفر اوور فلو اس لیے عام طور پر استعمال کرنے کے لیے اسی طرح کے ضمنی اثرات پیدا کرتے ہیں-آفٹر فری کیڑے: زیادہ تر، کمزور پروگرام کریش ہو جائے گا۔ بعض اوقات، تاہم، پروگرام کو بغیر انتباہ کے غیر بھروسہ مند کوڈ چلانے کے لیے دھوکہ دیا جا سکتا ہے۔
صفر دن کا سوراخ
صفر دن کا بگ CVE-2022-2856 اس سے زیادہ تفصیل کے ساتھ پیش کیا گیا ہے جتنا آپ اوپر دیکھ رہے ہیں: "Intents میں ناقابل اعتماد ان پٹ کی ناکافی توثیق۔"
ایک کروم آشے ایپس کو براہ راست ویب صفحہ سے ٹرگر کرنے کا ایک طریقہ کار ہے، جس میں ویب صفحہ پر موجود ڈیٹا کو ایک بیرونی ایپ میں فیڈ کیا جاتا ہے جو اس ڈیٹا کو پروسیس کرنے کے لیے لانچ کیا جاتا ہے۔
گوگل نے اس بارے میں کوئی تفصیلات فراہم نہیں کی ہیں کہ اس بگ کے ذریعے کون سی ایپس، یا کس قسم کے ڈیٹا کو نقصان پہنچایا جا سکتا ہے…
…لیکن خطرہ بالکل واضح نظر آتا ہے اگر معلوم کارنامے میں خاموشی سے کسی مقامی ایپ کو خطرناک ڈیٹا کے ساتھ کھانا کھلانا شامل ہے جسے عام طور پر سیکیورٹی کی بنیاد پر بلاک کردیا جاتا ہے۔
کیا کیا جائے؟
کروم شاید خود کو اپ ڈیٹ کر لے گا، لیکن ہم ہمیشہ بہر حال چیک کرنے کی تجویز کرتے ہیں۔
ونڈوز اور میک پر، استعمال کریں۔ مزید > مدد > گوگل کروم کے بارے میں > گوگل کروم کو اپ ڈیٹ کریں۔.
کے لیے الگ ریلیز بلیٹن ہے۔ کروم برائے iOS، جو ورژن پر جاتا ہے۔ 104.0.5112.99، لیکن ابھی تک کوئی بلیٹن نہیں [2022-08-17T12:00Z] جس میں Android کے لیے Chrome کا ذکر ہو۔
iOS پر، چیک کریں کہ آپ کے App Store ایپس اپ ٹو ڈیٹ ہیں۔ (ایسا کرنے کے لیے خود ایپ اسٹور ایپ استعمال کریں۔)
آپ گوگل پر اینڈرائیڈ کے بارے میں کسی بھی آئندہ اپ ڈیٹ کے اعلان کو دیکھ سکتے ہیں۔ کروم ریلیز کے بلاگ
ملکیتی کروم براؤزر کا اوپن سورس کرومیم ویرینٹ بھی فی الحال ورژن میں ہے۔ 104.0.5112.101.
مائیکروسافٹ ایج سیکورٹی نوٹتاہم، فی الحال [2022-08-17T12:00Z] کہتے ہیں:
اگست 16، 2022
مائیکروسافٹ جنگل میں موجود حالیہ استحصال سے واقف ہے۔ جیسا کہ Chromium ٹیم کی طرف سے اطلاع دی گئی ہے ہم سیکیورٹی پیچ جاری کرنے پر سرگرمی سے کام کر رہے ہیں۔
آپ مائیکروسافٹ کے آفیشل پر ایج اپڈیٹ کے لیے اپنی نظر رکھ سکتے ہیں۔ ایج سیکیورٹی اپڈیٹس صفحہ.
![S3 Ep120: جب dud crypto آسانی سے جانے نہیں دے گا [آڈیو + ٹیکسٹ]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep120-when-dud-crypto-simply-wont-let-go-audio-text-300x157.png "S3 Ep120: جب dud crypto آسانی سے جانے نہیں دے گا [آڈیو + ٹیکسٹ]")
