विशेषज्ञ आरसीई में एक नई भेद्यता का विवरण देते हैं जो Google क्रोम देव चैनल को प्रभावित करती है
Google क्रोम और क्रोमियम-आधारित ब्राउज़रों में उपयोग किए गए V8 जावास्क्रिप्ट और WebAssembly इंजन में हाल ही में पैच किए गए महत्वपूर्ण रिमोट कोड निष्पादन भेद्यता के बारे में विवरण सामने आया है।
समस्या सहायता अनुकूलन घटक में बाद के उपयोग के मामले से संबंधित है, और इसका एक सफल शोषण “एक हमलावर को ब्राउज़र संदर्भ में मनमानी कोड निष्पादित करने की अनुमति दे सकता है”।
दोष कि पहचान की क्रोम 101 के देव चैनल संस्करण में, सिंगापुर की साइबर सुरक्षा फर्म के एक सुरक्षा शोधकर्ता वीबो वांग द्वारा Google को इसकी सूचना दी गई थी। न्यूमेन साइबर टेक्नोलॉजी इसके बाद से कंपनी द्वारा चुपचाप इसकी मरम्मत की गई।
“यह भेद्यता निर्देश पहचान चरण में होती है, जहां एक गलत निर्देश की पहचान की गई थी जिसके परिणामस्वरूप मेमोरी एक्सेस अपवाद हुआ था,” वांग ने कहा.
मुफ्त के बाद दोषों का प्रयोग करें बात करने के लिए पहले से मुक्त की गई मेमोरी तक पहुँचने पर, यह अपरिभाषित व्यवहार का कारण बनता है और प्रोग्राम को क्रैश, भ्रष्ट डेटा का उपयोग करने, या यहां तक कि मनमाने कोड को निष्पादित करने का कारण बनता है।
अधिक चिंता की बात यह है कि विशेष रूप से सुरक्षा प्रतिबंधों को दरकिनार करने और लक्ष्य प्रणालियों से समझौता करने के लिए मनमाने कोड चलाने के लिए डिज़ाइन की गई वेबसाइट के माध्यम से दोष का दूर से फायदा उठाया जा सकता है।
“हीप-स्प्रेइंग तकनीकों का उपयोग करके इस भेद्यता का और अधिक शोषण किया जा सकता है, और फिर एक ‘भ्रम प्रकार’ भेद्यता की ओर जाता है।” भेद्यता एक हमलावर को फ़ंक्शन पॉइंटर्स को नियंत्रित करने या स्मृति में मनमाने स्थानों में कोड लिखने की अनुमति देती है, और अंततः निर्देश निष्पादन सॉफ़्टवेयर की ओर ले जाती है ।”
कंपनी ने अभी तक भेद्यता का खुलासा नहीं किया है क्रोम बग ट्रैकर पोर्टल अधिक से अधिक उपयोगकर्ताओं को पहले पैच किए गए संस्करण को स्थापित करने के लिए देता है। साथ ही, Google अस्थिर क्रोम चैनलों में पाई जाने वाली कमजोरियों के लिए सीवीई पहचानकर्ताओं को आवंटित नहीं करता है।
यह सुनिश्चित करने के लिए कि उनके ऐप्स नवीनतम क्रोम सुविधाओं और एपीआई परिवर्तनों के साथ संगत हैं, क्रोम के देव संस्करण का उपयोग करने वाले क्रोम उपयोगकर्ता, विशेष रूप से डेवलपर्स को सॉफ़्टवेयर के नवीनतम उपलब्ध संस्करण में अपडेट करना चाहिए।
 |
| भेद्यता को ठीक करने के बाद TurboFan असेंबली निर्देश |
यह पहली बार नहीं है जब V8 में उपयोग के बाद कमजोरियों का पता चला है। 2021 में Google के पते इनमें से सात कीड़े क्रोम में जिसका वास्तविक हमलों में शोषण किया गया है। इस साल, इसे सक्रिय रूप से मरम्मत भी की गई है उपयोग के बाद कमजोरी एनीमेशन घटक में।