کروم فوری طور پر صفر دن کے حل کو جاری کرتا ہے - ابھی اپ ڈیٹ کریں!

گوگل نے اس ہفتے کے شروع میں کروم اور کرومیم براؤزر کوڈ کے لیے حفاظتی اصلاحات کا ایک گروپ آگے بڑھایا…

…صرف اسی دن سائبرسیکیوریٹی کمپنی Avast کے محققین سے خطرے کی رپورٹ موصول کرنے کے لیے۔

گوگل کا جواب دھکیلنا تھا۔ ایک اور اپ ڈیٹ جتنی جلدی ہو سکے: ایک مسئلے سے نمٹنے کے لیے CVE-2022-3723 ، گوگل کے رواج کے ساتھ بیان کیا گیا ہے کہ ہم قانونی طور پر نہ تو تصدیق کر سکتے ہیں اور نہ ہی انکار کر سکتے ہیں:

Google ان رپورٹس سے واقف ہے کہ CVE-2022-3723 کے لیے ایک استحصال جنگل میں موجود ہے۔

(ایپل بھی باقاعدگی سے OMG-Everybody-there's-an-0-day نوٹیفکیشن کے اسی طرح کے منقطع ذائقے کا استعمال کرتا ہے، اس اثر کے لیے الفاظ استعمال کرتا ہے کہ وہ "اس رپورٹ سے آگاہ ہے کہ ممکن ہے [کسی] مسئلے کا فعال طور پر استحصال کیا گیا ہو"۔)

اس کروم اپ ڈیٹ کا مطلب ہے کہ اب آپ کا ورژن نمبر تلاش کر رہے ہیں۔ 107.0.5304.87 یا بعد میں.

مبہم طور پر، یہ وہی ورژن نمبر ہے جس کی میک یا لینکس پر توقع کی جاسکتی ہے، جبکہ ونڈوز صارفین کو مل سکتا ہے۔ 107.0.5304.87 or 107.0.5304.88، اور، نہیں، ہم نہیں جانتے کہ وہاں دو مختلف نمبر کیوں ہیں۔

اس کی قیمت کیا ہے، اس حفاظتی سوراخ کی وجہ بیان کی گئی تھی۔ "V8 میں الجھن ٹائپ کریں"، جو کہ "جاوا اسکرپٹ کے انجن میں ایک قابل استعمال بگ تھا جسے غیر بھروسہ مند کوڈ اور غیر بھروسہ مند ڈیٹا سے متحرک کیا جا سکتا ہے جو ظاہری طور پر باہر سے معصومانہ طور پر آیا تھا"۔

ڈھیلے الفاظ میں، اس کا مطلب یہ ہے کہ یہ تقریباً یقینی ہے کہ محض ایک بوبی ٹریپ ویب سائٹ پر جانا اور دیکھنا – ایسی چیز جو آپ کو خود ہی نقصان پہنچانے کی طرف لے جانے والی نہیں ہے – بغیر کسی پاپ اپ کے آپ کے آلے پر بدمعاش کوڈ لانچ کرنے اور میلویئر لگانے کے لیے کافی ہو سکتی ہے۔ یا دیگر ڈاؤن لوڈ انتباہات۔

اسی کو سائبر کرائم سلینگ میں a کے طور پر جانا جاتا ہے۔ ڈرائیو کی طرف سے انسٹال.

"رپورٹس سے آگاہ"

ہم اندازہ لگا رہے ہیں کہ ایک سائبرسیکیوریٹی کمپنی نے اس خطرے کی اطلاع دی ہے، اور ایک بگ اپ ڈیٹ کی تقریباً فوری اشاعت کو دیکھتے ہوئے، یہ خامی ایک گاہک کے کمپیوٹر یا نیٹ ورک پر دخل اندازی کی فعال تحقیقات کے دوران بے نقاب ہوئی تھی۔

غیر متوقع یا غیر معمولی وقفے کے بعد، جہاں لاگ ان میں داخلے کے واضح راستے ظاہر نہیں ہوتے ہیں، خطرے کے شکار کرنے والے عام طور پر اپنے اختیار میں موجود کھوج اور جوابی لاگز کی سخت تفصیلات کی طرف رجوع کرتے ہیں، اور سسٹم کو جوڑنے کی کوشش کرتے ہیں۔ کیا ہوا اس کی سطح کی تفصیلات۔

یہ دیکھتے ہوئے کہ براؤزر ریموٹ کوڈ ایگزیکیوشن (RCE) کے کارناموں میں اکثر ایسے غیر بھروسہ مند کوڈ کو چلانا شامل ہوتا ہے جو غیر متوقع طریقے سے کسی غیر بھروسہ مند ذریعہ سے آیا تھا، اور اس نے عمل درآمد کا ایک نیا دھاگہ شروع کیا جو عام طور پر لاگز میں ظاہر نہیں ہوتا…

کافی تفصیلی فرانزک "خطرے کے ردعمل" کے ڈیٹا تک رسائی سے نہ صرف یہ ظاہر ہو سکتا ہے کہ مجرم کیسے داخل ہوئے، بلکہ یہ بھی کہ وہ نظام میں کہاں اور کس طرح سے حفاظتی تحفظات کو نظرانداز کرنے کے قابل تھے جو عام طور پر موجود ہوتے ہیں۔

سیدھے الفاظ میں، ایک ایسے ماحول میں پیچھے کی طرف کام کرنا جس میں آپ حملے کو بار بار چلا سکتے ہیں، اور یہ دیکھ سکتے ہیں کہ یہ کیسے سامنے آتا ہے، اکثر جگہ کو ظاہر کرے گا، اگر درست کام نہیں تو، ایک استحصالی خطرے کا۔

اور، جیسا کہ آپ تصور کر سکتے ہیں، گھاس کے ڈھیر سے سوئی کو بحفاظت نکالنا بہت زیادہ آسان ہے اگر آپ کے پاس شروع کرنے کے لیے گھاس کے اسٹیک میں موجود تمام نوکیلی دھاتی اشیاء کا نقشہ ہو۔

مختصراً، ہمارا مطلب یہ ہے کہ جب گوگل کہتا ہے کہ "اسے حقیقی زندگی میں کروم کا استحصال کرتے ہوئے کیے گئے حملے کی "اطلاعات سے آگاہ ہے"، تو ہم یہ ماننے کے لیے تیار ہیں کہ آپ اس کا ترجمہ "بگ اصلی ہے، اور یہ واقعی استحصال کیا جا سکتا ہے، لیکن چونکہ ہم نے حقیقی زندگی میں ہیک کیے گئے نظام کی خود تحقیق نہیں کی تھی، اس لیے ہم اب بھی محفوظ زمین پر ہیں اگر ہم سیدھے باہر نہیں آتے اور کہتے ہیں، 'ارے، سب، یہ 0 دن کا ہے'۔ "

اس طرح کے بگ ڈسورسز کے بارے میں اچھی خبر یہ ہے کہ وہ شاید اس طرح سے سامنے آئے کیونکہ حملہ آور اس کمزوری اور اس سے فائدہ اٹھانے کے لیے درکار چالوں دونوں کو خفیہ رکھنا چاہتے تھے، یہ جانتے ہوئے کہ اس تکنیک کے بارے میں شیخی بگھارنا یا اسے بہت زیادہ استعمال کرنا اس کی دریافت میں تیزی لائے گا اور اس طرح ٹارگٹڈ حملوں میں اس کی قدر کم ہو جاتی ہے۔

موزیلا، مائیکروسافٹ، ایپل اور گوگل جیسی تنظیموں نے اپنے براؤزرز کو ناپسندیدہ کوڈ پر عمل درآمد کی چالوں کے خلاف سخت کرنے میں کتنی کوششیں کی ہیں، اس بات پر غور کرتے ہوئے کہ آج کے براؤزر RCE کے کارناموں کو دریافت کرنا انتہائی پیچیدہ اور حاصل کرنا مہنگا ہو سکتا ہے۔

دوسرے لفظوں میں، گوگل کا تیز رفتار پیچنگ کا وقت، اور حقیقت یہ ہے کہ زیادہ تر صارفین کو اپ ڈیٹ جلدی اور خود بخود موصول ہو جائے گا (یا کم از کم نیم خود بخود)، اس کا مطلب ہے کہ اب ہم میں سے باقی لوگ نہ صرف بدمعاشوں کو پکڑ سکتے ہیں، بلکہ واپس آ سکتے ہیں۔ ان سے آگے.

کیا کیا جائے؟

اگرچہ کروم ممکنہ طور پر خود کو اپ ڈیٹ کر لے گا، ہم ہمیشہ بہر حال چیک کرنے کی تجویز کرتے ہیں۔

جیسا کہ اوپر بتایا گیا ہے، آپ تلاش کر رہے ہیں۔ 107.0.5304.87 (میک اور لینکس)، یا ان میں سے ایک 107.0.5304.87 اور 107.0.5304.88 (ونڈوز)

استعمال مزید > مدد > گوگل کروم کے بارے میں > گوگل کروم کو اپ ڈیٹ کریں۔.

براؤزر کا اوپن سورس کرومیم ذائقہ، کم از کم لینکس پر، بھی فی الحال ورژن میں ہے۔ 107.0.5304.87.

(اگر آپ لینکس یا BSDs میں سے کسی ایک پر کرومیم استعمال کرتے ہیں، تو آپ کو تازہ ترین ورژن حاصل کرنے کے لیے اپنے ڈسٹرو میکر سے دوبارہ چیک کرنے کی ضرورت پڑسکتی ہے۔)

ہمیں یقین نہیں ہے کہ آیا کروم کا اینڈرائیڈ ورژن متاثر ہوا ہے، اور اگر ایسا ہے تو کون سا ورژن نمبر تلاش کرنا ہے۔

آپ گوگل پر اینڈرائیڈ کے لیے کسی بھی آئندہ اپ ڈیٹ کے اعلانات دیکھ سکتے ہیں۔ کروم ریلیز بلاگ.

ہم فرض کر رہے ہیں کہ iOS اور iPadOS پر کروم پر مبنی براؤزرز متاثر نہیں ہوئے ہیں، کیونکہ تمام Apple App Store براؤزرز Apple کے WebKit براؤزنگ سب سسٹم کو استعمال کرنے پر مجبور ہیں، جو Google کا V8 JavaScript انجن استعمال نہیں کرتا ہے۔

دلچسپ بات یہ ہے کہ لکھنے کے وقت [2022-10-29T14:00:00Z]، مائیکروسافٹ کے ایج کے لیے جاری کردہ نوٹ میں 2022-10-27 کی ایک اپ ڈیٹ کی وضاحت کی گئی تھی (محققین کے ذریعہ اس مسئلے کی اطلاع کے دو دن بعد)، لیکن ایسا نہیں کیا گیا۔ CVE-2022-3723 کو اس عمارت میں حفاظتی اصلاحات میں سے ایک کے طور پر درج کریں، جسے نمبر دیا گیا تھا۔ 107.0.1418.24.

لہذا ہم یہ فرض کر رہے ہیں کہ اس سے بڑے کسی بھی ایج ورژن کی تلاش اس بات کی نشاندہی کرے گی کہ مائیکروسافٹ نے اس سوراخ کے خلاف ایک اپ ڈیٹ شائع کیا ہے۔

آپ مائیکروسافٹ کے ذریعے ایج پیچ پر اپنی نظر رکھ سکتے ہیں۔ ایج سیکیورٹی اپڈیٹس صفحہ.

---