Google Chrome डेवलपर प्रोग्रामर्स को वेवथ्रू वल्नरेबिलिटी के खिलाफ कार्रवाई करने का आग्रह करता है

Google Chrome डेवलपर प्रोग्रामर्स को वेवथ्रू वल्नरेबिलिटी के खिलाफ एक्शन लेने का आग्रह करता है

सुरक्षा / Google Chrome डेवलपर प्रोग्रामर्स को वेवथ्रू वल्नरेबिलिटी के खिलाफ एक्शन लेने का आग्रह करता है 1 मिनट पढ़ा

Google, LLC

Google Chrome के अधिवक्ता, जेक आर्किबाल्ड ने आधुनिक वेब ब्राउज़िंग तकनीक में काफी गंभीर भेद्यता की खोज की है जो साइटों को लॉगिन विवरणों के साथ-साथ अन्य संवेदनशील सूचनाओं को चुराने की अनुमति दे सकती है। एक्सप्लॉइट सैद्धांतिक रूप से उन अन्य साइटों से संबंधित जानकारी चुरा सकता है, जिन्हें आपने लॉग इन किया है, लेकिन वर्तमान में एक्सेस करने का प्रयास नहीं कर रहे हैं।

दूरस्थ हमलावर काल्पनिक रूप से भी इस भेद्यता का उपयोग कर सकते हैं ताकि आप सोशल नेटवर्किंग साइटों पर आपके द्वारा भेजे गए ईमेल की सामग्री को पढ़ सकें।

सेकुलौंचर आवेदन 2000 शुरू करने मे असफल

क्रॉस-ऑरिज रिक्वेस्ट तकनीक कोर प्रदान करती है कि भेद्यता सिद्धांत में बनाई जा सकती है। आधुनिक ब्राउज़र क्रॉस-उत्पत्ति अनुरोध करने के लिए साइटों को अनुमति नहीं देते हैं क्योंकि आधुनिक इंजीनियरों का मानना है कि एक साइट पर दूसरे से दी गई जानकारी को देखने के लिए कुछ वैध कारण हैं।

जब यह इस तरह के अनुरोध को ऑडियो और वीडियो को लोड करने के लिए आवश्यक है, तब से वेब ब्राउज़र इतने विशेष रूप से तब उत्पन्न नहीं होते हैं जब यह बाहर की उत्पत्ति पर होस्ट की गई अन्य प्रकार की मीडिया फ़ाइलों को लाने के लिए आता है।

साइट कोड को आमतौर पर अनधिकृत अनुरोध त्रुटि प्रदर्शित करने के लिए ब्राउज़र को संकेत दिए बिना अन्य डोमेन से ऑडियो और वीडियो फ़ाइलों को लोड करने की अनुमति दी जाती है। ब्राउज़र कुछ प्रकार के रेंज हेडर और आंशिक सामग्री लोड प्रतिक्रियाओं का भी समर्थन कर सकते हैं, जो कि स्ट्रीमिंग मीडिया के एक बड़े टुकड़े के छोटे टुकड़ों को वितरित करने वाले हैं।

आर्चिबाल्ड के शोध के अनुसार Microsoft एज, मोज़िला फ़ायरफ़ॉक्स और अन्य आधुनिक ब्राउज़रों को इस पद्धति का उपयोग करके अनियमित अनुरोधों को लोड करने में धोखा दिया जा सकता है। इन ब्राउज़रों को एंड-यूज़र के माध्यम से कई स्रोतों से अपारदर्शी डेटा की परीक्षण प्रतियों को अनुमति देने के लिए दिखाया गया है।

वर्तमान में इस हमले के वेक्टर का उपयोग करने वाले पटाखे का कोई ज्ञात उदाहरण नहीं है। वेवक्रिट, जैसा कि आर्चीबाल्ड कहता है, क्रोम और सफारी में पहले से ही सही ढंग से बिना किसी उद्देश्य के ऐसा करने की कोशिश की गई है। उन्होंने कहा कि वह चाहते हैं कि इस तरह की सुरक्षा सुविधा को एक ब्राउज़िंग मानक के रूप में लिखा गया है, इसलिए सभी आधुनिक ब्राउज़र भेद्यता के लिए प्रतिरक्षात्मक होंगे।

हालांकि बग के जवाब में Microsoft या मोज़िला के बारे में कोई खबर नहीं है, यह विश्वास करना मुश्किल नहीं है कि इन दोनों ब्राउज़रों के अगले प्रमुख अपडेट के साथ पैच जारी किए जाएंगे। आर्कबाइल्ड की इच्छा के अनुसार इंजीनियर इस डिजाइन के लिए किसी दिन धक्का दे सकते हैं।

टैग गूगल क्रोम वेब सुरक्षा