Google ने Microsoft के एज वेब ब्राउज़र में एक बहुत ही गंभीर दोष के बारे में विवरण प्रकट किया है, लेकिन Microsoft मार्च के मध्य तक समस्या को ठीक नहीं कर पाएगा।
दोष हमलावरों को आर्बिट्रेरी कोड गार्ड (एसीजी) नामक एक एज सुरक्षा सुविधा को बायपास करने देता है जो दुर्भावनापूर्ण जावास्क्रिप्ट को वेब पेज पर निष्पादित करने से रोकता है। Google की प्रोजेक्ट ज़ीरो टीम के बग फ़ाइंडर्स ने 17 नवंबर को दोष पाया और Google द्वारा दोष का खुलासा करने से पहले Microsoft को इसे ठीक करने के लिए 90 दिन का समय दिया।
लेकिन समय सीमा के दिन, फरवरी 15, माइक्रोसॉफ्ट ने प्रोजेक्ट ज़ीरो को बताया कि यह समय सीमा नहीं बना पाएगा, यहां तक कि दो सप्ताह के विस्तार के साथ भी प्रोजेक्ट ज़ीरो ने स्पष्ट रूप से पेशकश की थी। इसलिए Google ने दोष के बारे में बीन्स को बताया, जिसके लिए फिक्स 13 मार्च को माइक्रोसॉफ्ट के अगले पैच मंगलवार के शेड्यूल अपडेट के साथ आएगा।
एज उपयोगकर्ता तब तक Microsoft के प्रमुख ब्राउज़र का उपयोग करने से बचना चाह सकते हैं।
अधिक: एज बनाम क्रोम बनाम फ़ायरफ़ॉक्स: विंडोज 10 ब्राउज़रों की लड़ाई
Google प्रोजेक्ट ज़ीरो के शोधकर्ता इवान फ्रैट्रिक ने अपने मूल ब्लॉग पोस्टिंग पर एक टिप्पणी में लिखा है कि यहां चांदी की परत यह है कि इस दोष का "अपने दम पर शोषण नहीं किया जा सकता है"।
किसी और के एज ब्राउज़र पर हमला करने के लिए, पहला कदम उनके ब्राउज़र में किसी अन्य प्रक्रिया को संक्रमित या अन्यथा समझौता करना होगा। उसके बाद ही आप चरण दो पर आगे बढ़ पाएंगे: आप इस नए दोष का उपयोग एज की रनिंग मेमोरी में बिल्कुल सही बिंदु पर दुर्भावनापूर्ण कोड में स्वैप करने के लिए करेंगे ताकि कोड उस सौम्य कोड को बदल दे जो एज की एसीजी प्रक्रिया चलने वाली थी।
फ्रैट्रिक ने लिखा, "एक हमलावर को पहले एज सामग्री प्रक्रिया में कुछ क्षमताओं को हासिल करने के लिए एक अलग भेद्यता का फायदा उठाने की आवश्यकता होगी (जैसे मनमाने ढंग से स्मृति स्थानों को पढ़ने और लिखने की क्षमता), जिसके बाद वे अतिरिक्त क्षमताओं को हासिल करने के लिए इस भेद्यता का उपयोग कर सकते हैं। (अर्थात्, मनमाना मशीन कोड चलाने की क्षमता)।"
बुरी खबर यह है कि स्टेप वन शायद कुशल हैकर्स और ठीक से तैयार किए गए मैलवेयर की पहुंच के भीतर है। फ्रैट्रिक की मूल ब्लॉग पोस्टिंग, जो अब सभी के देखने के लिए उपलब्ध है, आपको यह दिखाती है कि चरण दो पर कैसे आगे बढ़ना है। आप शर्त लगा सकते हैं कि बुरे लोग 13 मार्च को फिक्स तैयार होने से पहले फ्रैट्रिक के प्रूफ-ऑफ-कॉन्सेप्ट शोषण को लागू करने के लिए काम कर रहे हैं।
फ्रैट्रिक 27 अप्रैल को मियामी बीच में घुसपैठ सुरक्षा सम्मेलन में यह सब कैसे काम करता है, इस बारे में और भी अधिक बताने वाला है।
छवि क्रेडिट: टी। डलास / शटरस्टॉक
- माइक्रोसॉफ्ट एज में अपनी गोपनीयता कैसे बढ़ाएं
- मेल्टडाउन एंड स्पेक्टर: अपने पीसी, मैक और फोन की सुरक्षा कैसे करें
- सर्वश्रेष्ठ विंडोज 10 थीम्स (और उन्हें कैसे डाउनलोड करें)