گوگل نے کروم میں حال ہی میں دریافت ہونے والے خطرے کو دور کرنے کے لیے ایک فوری اپ ڈیٹ جاری کیا ہے جو کہ جنگل میں فعال استحصال کے تحت ہے، جو 2023 میں براؤزر کے لیے آٹھویں صفر دن کے خطرے کی نشاندہی کرتا ہے۔
کے طور پر شناخت کیا گیا ہے۔ CVE-2023-7024گوگل نے کہا کہ کمزوری کروم کے WebRTC ماڈیول کے اندر ایک اہم ہیپ بفر اوور فلو خامی ہے جو ریموٹ کوڈ پر عمل درآمد (RCE) کی اجازت دیتا ہے۔
WebRTC ایک اوپن سورس پہل ہے جو APIs کے ذریعے ریئل ٹائم مواصلت کو قابل بناتا ہے، اور براؤزر بنانے والوں کے درمیان بڑے پیمانے پر تعاون حاصل کرتا ہے۔
کس طرح CVE-2023-7024 کروم صارفین کو خطرہ ہے۔
مینلو سیکیورٹی کے چیف سیکیورٹی آرکیٹیکٹ لیونل لیٹی بتاتے ہیں کہ رینڈرر کے عمل میں RCE حاصل کرنے کی صلاحیت استحصال سے خطرہ ہے۔ اس کا مطلب ہے کہ ایک برا اداکار جاوا اسکرپٹ سینڈ باکس کے باہر، صارف کی مشین پر صوابدیدی بائنری کوڈ چلا سکتا ہے۔
تاہم، حقیقی نقصان اس مسئلے کو استعمال کرنے پر انحصار کرتا ہے جو استحصال کے سلسلے میں پہلے قدم کے طور پر ہوتا ہے۔ اسے واقعی خطرناک ہونے کے لیے یا تو خود کروم یا OS میں سینڈ باکس سے بچنے کے خطرے کے ساتھ جوڑنے کی ضرورت ہے۔
"یہ کوڈ ابھی بھی کروم کے ملٹی پروسیس فن تعمیر کی وجہ سے سینڈ باکس میں ہے،" لٹی کہتے ہیں، "لہٰذا صرف اس کمزوری کے ساتھ حملہ آور صارف کی فائلوں تک رسائی حاصل نہیں کر سکتا اور نہ ہی میلویئر کو تعینات کرنا شروع کر سکتا ہے، اور مشین پر ان کے قدم اس وقت ختم ہو جاتے ہیں جب متاثرہ ٹیب کے بند."
اس نے نشاندہی کی کہ کروم کی سائٹ آئسولیشن فیچر عام طور پر دوسری سائٹوں کے ڈیٹا کی حفاظت کرے گا، اس لیے حملہ آور شکار کی بینکنگ کی معلومات کو نشانہ نہیں بنا سکتا، حالانکہ اس نے مزید کہا کہ یہاں کچھ باریک انتباہات ہیں۔
مثال کے طور پر، اگر وہ ایک ہی سائٹ کا استعمال کرتے ہیں تو یہ ایک ہدف کی اصل کو بدنیتی پر ظاہر کرے گا: دوسرے لفظوں میں، ایک فرضی malicious.shared.com victim.shared.com کو نشانہ بنا سکتا ہے۔
"اگرچہ مائیکروفون یا کیمرے تک رسائی کے لیے صارف کی رضامندی کی ضرورت ہوتی ہے، لیکن خود WebRTC تک رسائی نہیں ہوتی،" لٹی بتاتے ہیں۔ "یہ ممکن ہے کہ اس خطرے کو کسی بھی ویب سائٹ کی طرف سے نشانہ بنایا جا سکتا ہے بغیر کسی صارف کے ان پٹ کی ضرورت کے بغیر نقصان دہ صفحہ کا دورہ کرنے کے، لہذا اس نقطہ نظر سے خطرہ اہم ہے۔"
Aubrey Perin، Qualys Threat Research Unit کے لیڈ تھریٹ انٹیلی جنس تجزیہ کار، نوٹ کرتے ہیں کہ بگ کی رسائی گوگل کروم سے باہر ہے۔
"کروم کا استحصال اس کی ہر جگہ سے منسلک ہے - یہاں تک کہ مائیکروسافٹ ایج بھی کرومیم کا استعمال کرتا ہے،" وہ کہتے ہیں۔ "لہذا، کروم کا استحصال ممکنہ طور پر ایج صارفین کو نشانہ بنا سکتا ہے اور برے اداکاروں کو وسیع تر رسائی کی اجازت دے سکتا ہے۔"
اور یہ واضح رہے کہ کروم استعمال کرنے والے اینڈرائیڈ موبائل ڈیوائسز کا اپنا رسک پروفائل ہوتا ہے۔ وہ کچھ منظرناموں میں متعدد سائٹوں کو ایک ہی پیش کرنے والے عمل میں ڈالتے ہیں، خاص طور پر ان آلات پر جن میں زیادہ RAM نہیں ہوتی ہے۔
براؤزرز ایک اعلی سائبر حملے کا ہدف بنے ہوئے ہیں۔
بڑے براؤزر فروشوں نے حال ہی میں صفر دن کے کیڑے کی بڑھتی ہوئی تعداد کی اطلاع دی ہے - اکیلے گوگل نے اطلاع دی۔ اگست سے پانچ.
ایپل، مائیکروسافٹ، اور فائر فاکس ان لوگوں میں شامل ہیں جنہوں نے انکشاف کیا ہے۔ اہم کمزوریوں کا سلسلہ ان کے براؤزرز میں، بشمول کچھ صفر دن۔
جوزف کارسن، چیف سیکورٹی سائنسدان اور ڈیلینا میں ایڈوائزری CISO، کہتے ہیں کہ یہ کوئی تعجب کی بات نہیں ہے کہ حکومت کے زیر اہتمام ہیکرز اور سائبر کرائمینز مقبول سافٹ ویئر کو نشانہ بناتے ہیں، جو مسلسل استحصال کے لیے کمزوریوں کی تلاش میں رہتے ہیں۔
"یہ عام طور پر سافٹ ویئر کے وسیع پیمانے پر استعمال، متعدد پلیٹ فارمز، اعلیٰ قدر کے اہداف کی وجہ سے ایک بڑے حملے کی سطح کی طرف جاتا ہے، اور عام طور پر سپلائی چین حملوں کے دروازے کھول دیتا ہے،" وہ کہتے ہیں۔
وہ نوٹ کرتا ہے کہ اس قسم کی کمزوریوں میں بہت سے صارفین کو کمزور سسٹم کو اپ ڈیٹ کرنے اور پیچ کرنے میں بھی وقت لگتا ہے۔
کارسن کا کہنا ہے کہ "لہذا، حملہ آور ممکنہ طور پر آنے والے کئی مہینوں تک ان کمزور نظاموں کو نشانہ بنائیں گے۔
وہ مزید کہتے ہیں، "چونکہ اس کمزوری کا فعال طور پر فائدہ اٹھایا جا رہا ہے، اس کا امکان یہ ہے کہ بہت سے صارفین کے نظاموں سے پہلے ہی سمجھوتہ کیا جا چکا ہے اور یہ ضروری ہو گا کہ وہ ایسے آلات کی شناخت کر سکیں جنہیں نشانہ بنایا گیا ہے اور ان سسٹمز کو تیزی سے پیچ کر دیا جائے گا۔"
نتیجے کے طور پر، کارسن نوٹ کرتا ہے، تنظیموں کو کسی بھی خطرے یا ممکنہ مادی اثرات کا تعین کرنے کے لیے اس خطرے کے ساتھ حساس نظاموں کی چھان بین کرنی چاہیے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- : ہے
- : ہے
- : نہیں
- 2023
- 7
- a
- کی صلاحیت
- قابلیت
- تک رسائی حاصل
- حاصل
- فعال
- فعال طور پر
- اداکار
- پتہ
- جوڑتا ہے
- مشاورتی
- کی اجازت
- کی اجازت دیتا ہے
- اکیلے
- پہلے ہی
- بھی
- اگرچہ
- کے درمیان
- an
- تجزیہ کار
- اور
- لوڈ، اتارنا Android
- کوئی بھی
- APIs
- فن تعمیر
- کیا
- AS
- At
- حملہ
- حملے
- دور
- برا
- بینکنگ
- BE
- رہا
- کیا جا رہا ہے
- سے پرے
- براؤزر
- براؤزر
- بفر
- بفر اوور فلو
- بگ کی اطلاع دیں
- کیڑوں
- by
- کیمرہ
- کر سکتے ہیں
- نہیں کر سکتے ہیں
- چین
- چیف
- کروم
- کرومیم
- CISO
- بند
- کوڈ
- COM
- مل کر
- کس طرح
- مواصلات
- سمجھوتہ کیا
- رضامندی
- مسلسل
- سکتا ہے
- اہم
- سائبر حملہ
- cybercriminals
- نقصان
- خطرناک
- اعداد و شمار
- تعینات
- اس بات کا تعین
- کے الات
- دریافت
- do
- کرتا
- دروازے
- دو
- ایج
- آٹھیں
- یا تو
- کو فعال کرنا
- فرار ہونے میں
- خاص طور پر
- بھی
- مثال کے طور پر
- پھانسی
- بیان کرتا ہے
- دھماکہ
- استحصال
- استحصال کیا۔
- استحصال کرنا
- توسیع
- نمایاں کریں
- فائلوں
- فائر فاکس
- پہلا
- غلطی
- کے لئے
- سے
- عام طور پر
- جاتا ہے
- گوگل
- گوگل کروم
- حکومت
- حکومت کی سرپرستی
- بڑھتے ہوئے
- ہیکروں
- ہے
- he
- یہاں
- HTML
- HTTPS
- کی نشاندہی
- شناخت
- if
- اثر
- متاثر
- اہم
- in
- دیگر میں
- سمیت
- معلومات
- انیشی ایٹو
- ان پٹ
- انٹیلی جنس
- کی تحقیقات
- تنہائی
- جاری
- IT
- میں
- خود
- جاوا سکرپٹ
- فوٹو
- صرف
- بڑے
- قیادت
- معروف
- لیڈز
- امکان
- بہت
- مشین
- سازوں
- میلویئر
- بہت سے
- مارکنگ
- مواد
- کا مطلب ہے کہ
- مائکروفون
- مائیکروسافٹ
- مائیکروسافٹ ایج
- موبائل
- موبائل آلات
- ماڈیول
- ماہ
- ایک سے زیادہ
- ضروریات
- نہیں
- کا کہنا
- نوٹس
- تعداد
- of
- on
- کھول
- اوپن سورس
- کھولتا ہے
- or
- تنظیمیں
- اصل
- OS
- دیگر
- دیگر
- باہر
- باہر
- خود
- صفحہ
- پیچ
- نقطہ نظر
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹس
- مقبول
- ممکن
- ممکنہ
- ممکنہ طور پر
- عمل
- پروفائل
- حفاظت
- ڈال
- جلدی سے
- RAM
- تک پہنچنے
- اصلی
- اصل وقت
- حال ہی میں
- ریلیز
- رہے
- ریموٹ
- اطلاع دی
- کی ضرورت ہے
- تحقیق
- نتیجہ
- رسک
- خطرات
- رن
- s
- کہا
- اسی
- سینڈباکس
- کا کہنا ہے کہ
- منظرنامے
- سائنسدان
- تلاش
- سیکورٹی
- حساس
- مشترکہ
- ہونا چاہئے
- اہم
- بعد
- سائٹ
- سائٹس
- So
- سافٹ ویئر کی
- کچھ
- ماخذ
- کی طرف سے سپانسر
- شروع کریں
- مرحلہ
- ابھی تک
- فراہمی
- فراہمی کا سلسلہ
- حمایت
- سطح
- حیرت
- سسٹمز
- لے لو
- ہدف
- ھدف بنائے گئے
- اہداف
- کہ
- ۔
- ان
- وہاں.
- لہذا
- یہ
- وہ
- اس
- ان
- اگرچہ؟
- خطرہ
- خطرہ
- کے ذریعے
- بندھے ہوئے
- وقت
- کرنے کے لئے
- سب سے اوپر
- واقعی
- اقسام
- عام طور پر
- کے تحت
- یونٹ
- اپ ڈیٹ کریں
- فوری
- استعمال
- استعمال کی شرائط
- رکن کا
- صارفین
- استعمال
- کا استعمال کرتے ہوئے
- عام طور پر
- دکانداروں
- وکٹم
- نقصان دہ
- خطرے کا سامنا
- قابل اطلاق
- ویب سائٹ
- جب
- جبکہ
- وسیع
- وسیع پیمانے پر
- وائلڈ
- گے
- ساتھ
- کے اندر
- بغیر
- الفاظ
- گا
- زیفیرنیٹ