- गूगल रिलीज क्रोम सुरक्षा सलाह, जिसमें क्रोम के जावास्क्रिप्ट इंजन के लिए एक शून्य-दिन का पैच शामिल है।
- CVE-2021-30551 को उच्च रेटिंग मिलती है, केवल एक बग जो जंगली नहीं है, दुर्भावनापूर्ण तृतीय पक्षों द्वारा शोषण किया जाता है।
- Google के अनुसार, बग विवरण और लिंक तक पहुंच को तब तक प्रतिबंधित रखा जा सकता है जब तक कि अधिकांश उपयोगकर्ता फिक्स के साथ अपडेट नहीं हो जाते।
- CVE-2021-30551 बग को Google द्वारा V8 में टाइप कन्फ्यूजन के रूप में सूचीबद्ध किया गया है, जिसका अर्थ है कि अनधिकृत कोड चलाने के लिए जावास्क्रिप्ट सुरक्षा को बायपास किया जा सकता है।
उपयोगकर्ता अभी भी पिछले Microsoft. पर निवास कर रहे हैं पैच मंगलवार की घोषणा, जो उनकी राय में काफी खराब था, जिसमें छह इन-द-वाइल्ड कमजोरियों को पैच किया गया था।
इंटरनेट एक्सप्लोरर के एमएसएचटीएमएल वेब रेंडरिंग कोड के अवशेषों के भीतर गहरे दबे हुए व्यक्ति का उल्लेख नहीं है।
एक ही अपडेट में 14 सुरक्षा सुधार
अब, Google जारी करता है क्रोम सुरक्षा सलाह, जिसे आप जानना चाहते हैं, इसमें क्रोम के जावास्क्रिप्ट इंजन के लिए एक शून्य-दिन पैच (CVE-2021-30551) शामिल है, इसके अन्य 14 आधिकारिक तौर पर सूचीबद्ध सुरक्षा सुधारों के बीच।
उन लोगों के लिए जो अभी भी इस शब्द से परिचित नहीं हैं, शून्य दिन एक कल्पनाशील समय है, क्योंकि इस प्रकार का साइबर हमला सुरक्षा दोष के बारे में जागरूकता के एक दिन से भी कम समय में होता है।
इसलिए, यह डेवलपर्स को इस भेद्यता से जुड़े संभावित जोखिमों को मिटाने या कम करने के लिए लगभग पर्याप्त समय नहीं देता है।
मोज़िला के समान, Google अन्य संभावित बगों को भी एक साथ समूहित करता है, जिन्हें सामान्य बग-शिकार विधियों का उपयोग करके पाया गया है, जिन्हें सूचीबद्ध किया गया है आंतरिक ऑडिट, फ़ज़िंग और अन्य पहलों से विभिन्न सुधार।
फ़ज़र्स साबित रन की अवधि में लाखों नहीं, सैकड़ों-लाखों परीक्षण इनपुट का उत्पादन कर सकते हैं।
हालांकि, उन्हें केवल उन मामलों में संग्रहीत करने की आवश्यकता होती है जो प्रोग्राम को दुर्व्यवहार, या क्रैश का कारण बनते हैं।
इसका मतलब यह है कि उन्हें बाद में इस प्रक्रिया में इस्तेमाल किया जा सकता है, मानव बग शिकारी के लिए शुरुआती बिंदु के रूप में, जो बहुत समय और जनशक्ति को भी बचाएगा।
जंगली में कीड़ों का शोषण किया जा रहा है
Google जीरो-डे बग का उल्लेख करते हुए शुरू करता है, जिसमें कहा गया है कि वे जानते हैं कि CVE-2021-30551 के लिए एक शोषण जंगली में मौजूद है.
यह विशेष बग के रूप में सूचीबद्ध है V8. में भ्रम टाइप करें, जहां V8 जावास्क्रिप्ट कोड चलाने वाले क्रोम के हिस्से का प्रतिनिधित्व करता है।
टाइप कन्फ्यूजन का मतलब है कि आप एक डेटा आइटम के साथ V8 प्रदान कर सकते हैं, जबकि जावास्क्रिप्ट को इसे संभालने में धोखा दे रहा है जैसे कि यह कुछ पूरी तरह से अलग था, संभावित रूप से सुरक्षा को दरकिनार कर रहा था या यहां तक कि अनधिकृत कोड भी चला रहा था।
जैसा कि आप में से अधिकांश जानते हैं, जावास्क्रिप्ट सुरक्षा उल्लंघनों को एक वेब पेज में एम्बेडेड जावास्क्रिप्ट कोड द्वारा ट्रिगर किया जा सकता है, अक्सर आरसीई शोषण, या यहां तक कि रिमोट कोड निष्पादन में परिणाम होता है।
यह सब कहने के साथ, Google यह स्पष्ट नहीं कर रहा है कि क्या CVE-2021-30551 बग का उपयोग हार्डकोर रिमोट कोड निष्पादन के लिए किया जा सकता है, जिसका आमतौर पर मतलब है कि उपयोगकर्ता साइबर हमलों की चपेट में हैं।
यह कितना गंभीर है इसका अंदाजा लगाने के लिए, किसी वेबसाइट पर सर्फ करने की कल्पना करें, वास्तव में किसी पर क्लिक किए बिना पॉपअप, दुर्भावनापूर्ण तृतीय पक्षों को अदृश्य रूप से कोड चलाने की अनुमति दे सकता है, और आपके कंप्यूटर पर मैलवेयर आरोपित कर सकता है।
इस प्रकार, CVE-2021-30551 केवल एक उच्च रेटिंग प्राप्त करता है, केवल एक बग जो जंगली में नहीं है (CVE-2021-30544), जिसे महत्वपूर्ण के रूप में वर्गीकृत किया गया है।
यह हो सकता है कि CVE-2021-30544 बग का महत्वपूर्ण उल्लेख इसके लिए जिम्मेदार था क्योंकि इसका RCE के लिए उपयोग किया जा सकता था।
हालाँकि, इस बात का कोई सुझाव नहीं है कि Google के अलावा किसी और के साथ-साथ जिन शोधकर्ताओं ने इसकी रिपोर्ट की है, वे जानते हैं कि यह कैसे करना है, फिलहाल।
कंपनी ने यह भी उल्लेख किया है कि बग विवरण और लिंक तक पहुंच को तब तक प्रतिबंधित रखा जा सकता है जब तक कि अधिकांश उपयोगकर्ताओं को फिक्स के साथ अपडेट नहीं किया जाता है
Google के नवीनतम ज़ीरो डे पैच पर आपकी क्या राय है? नीचे टिप्पणी अनुभाग में अपने विचार हमारे साथ साझा करें।
