क्रोम ज़ीरो-डे एक्सप्लॉइट पैचेड, यूज़र्स को तुरंत अपडेट करना चाहिए

Google संबंधित Microsoft Windows भेद्यता का भी खुलासा करता है

गूगल क्रोम

Google के सुरक्षा विशेषज्ञों ने अनुशंसा की है कि सभी क्रोम उपयोगकर्ता हाथोंहाथ उनके ब्राउज़र को अपडेट करें, क्योंकि CVE-2019-5786 लेबल वाले शून्य-दिन के नवीनतम 72.0.3626.121 संस्करण में पैच किया गया है।

शून्य-दिवसीय शोषण एक सुरक्षा भेद्यता है जिसे हैकर्स ने खोजा है, और यह पता लगाया है कि शोषण कैसे किया जाए, इससे पहले कि सुरक्षा विकास इसे पैच करने में सक्षम हो। इसलिए 'शून्य दिन' शब्द - सुरक्षा विकास का शाब्दिक अर्थ था छेद को बंद करना।

Google प्रारंभ में सुरक्षा भेद्यता के तकनीकी विवरण के बारे में चुप था, जब तक कि ' अधिकांश Chrome उपयोगकर्ता फ़िक्स के साथ अपडेट किए गए हैं ”। इससे आगे नुकसान को रोकने की संभावना थी।

हालाँकि, Google ने पुष्टि की कि सुरक्षा भेद्यता ब्राउज़र के FileReader घटक में उपयोग के बाद मुक्त शोषण है। FileReader एक मानक API है, जो वेब ऐप्स को अतुल्यकालिक रूप से फ़ाइलों की सामग्री को पढ़ने की अनुमति देता है एक कंप्यूटर पर संग्रहीत । Google ने यह भी पुष्टि की कि सुरक्षा खतरा ऑनलाइन खतरों के कलाकारों द्वारा शोषण किया गया है।

संक्षेप में, सुरक्षा भेद्यता क्रोम ब्राउज़र में विशेषाधिकारों को प्राप्त करने और मनमाने कोड चलाने के लिए खतरे वाले अभिनेताओं को अनुमति देती है सैंडबॉक्स के बाहर । खतरा सभी प्रमुख ऑपरेटिंग सिस्टम पर प्रभाव डालता है ( Windows, macOS और Linux) ।

यह एक बहुत गंभीर शोषण होना चाहिए, क्योंकि यहां तक ​​कि Google Chrome के लिए सुरक्षा और डेस्कटॉप इंजीनियरिंग लीड, जस्टिन शुन ने ट्विटर पर भी बात की थी।

https://twitter.com/justinschuh/status/1103087046661267456

यह सुरक्षा टीम के लिए सार्वजनिक रूप से सुरक्षा छेदों को संबोधित करने के लिए असामान्य है, वे आम तौर पर चुपचाप चीजों को पैच करते हैं। इस प्रकार, जस्टिन के ट्वीट ने सभी उपयोगकर्ताओं को क्रोम asap को अपडेट करने के लिए तात्कालिकता की भावना को प्रबल किया।

गूगल के पास है अधिक जानकारी अद्यतन भेद्यता के बारे में, और वास्तव में यह स्वीकार किया कि यह दो अलग-अलग कमजोरियों के साथ मिलकर किया जा रहा था।

पहली भेद्यता Chrome के भीतर ही थी, जो कि हम ऊपर विस्तृत रूप में FileReader के शोषण पर निर्भर थे।

दूसरी भेद्यता Microsoft विंडोज के भीतर ही थी। यह विंडोज win32k.sys में एक स्थानीय विशेषाधिकार वृद्धि थी, और इसे सुरक्षा सैंडबॉक्स एस्केप के रूप में इस्तेमाल किया जा सकता है। जब कोई NtUserMNDragOver () सिस्टम कॉल को विशिष्ट परिस्थितियों में कॉल किया जाता है, तो भेद्यता win32k में एक पूर्ण पॉलीमर डीरेफेरेंस है!

Google ने नोट किया कि उन्होंने Microsoft के लिए भेद्यता का खुलासा किया, और सार्वजनिक रूप से भेद्यता का खुलासा कर रहे हैं क्योंकि यह ' विंडोज में एक गंभीर भेद्यता जिसे हम जानते हैं कि लक्षित हमलों में सक्रिय रूप से शोषण किया जा रहा था ” ।

Microsoft कथित तौर पर एक फिक्स पर काम कर रहा है, और उपयोगकर्ताओं को उपलब्ध होते ही विंडोज 10 में अपग्रेड करने और Microsoft से पैच लागू करने की सिफारिश की जाती है।

पीसी पर Google क्रोम कैसे अपडेट करें

अपने ब्राउज़र के एड्रेस बार में क्रोम: // सेटिंग्स / मदद या शीर्ष दाईं ओर तीन डॉट्स पर क्लिक करें और नीचे दी गई छवि में बताई गई सेटिंग्स चुनें।

फिर ऊपरी बाएं कोने से सेटिंग (बार्स) चुनें और क्रोम के बारे में चुनें।

एक बार के बारे में अनुभाग में, Google स्वचालित रूप से अपडेट के लिए जाँच करेगा, और यदि कोई अपडेट उपलब्ध है तो Google आपको सूचित करेगा।