گوگل ایکسپلائٹ کوڈ شائع کرتا ہے جس سے کرومیم کے لاکھوں صارفین کو خطرہ ہے۔

گوگل نے بدھ کے روز اپنے کرومیم براؤزر کوڈ بیس میں غیر فکسڈ خطرے کے لیے ایکسپلائٹ کوڈ شائع کیا جو کروم، مائیکروسافٹ ایج، اور عملی طور پر دیگر تمام کرومیم پر مبنی براؤزرز استعمال کرنے والے لاکھوں لوگوں کو خطرہ ہے۔

تصور کا ثبوت کوڈ براؤزر فیچ پروگرامنگ انٹرفیس کا استحصال کرتا ہے، ایک ایسا معیار جو طویل ویڈیوز اور دیگر بڑی فائلوں کو پس منظر میں ڈاؤن لوڈ کرنے کی اجازت دیتا ہے۔ ایک حملہ آور صارف کے براؤزر کے استعمال کے کچھ پہلوؤں کی نگرانی کے لیے اور سائٹس کو دیکھنے اور سروس سے انکار کے حملوں کو شروع کرنے کے لیے ایک پراکسی کے طور پر ایک کنکشن بنانے کے لیے استحصال کا استعمال کر سکتا ہے۔ براؤزر پر منحصر ہے، کنکشن یا تو دوبارہ کھلتے ہیں یا کھلے رہتے ہیں اس کے بعد یا اسے چلانے والے ڈیوائس کے دوبارہ شروع ہونے کے بعد بھی۔

29 مہینوں کے لیے غیر طے شدہ (اور گنتی)

غیر طے شدہ خطرے کا فائدہ کسی بھی ویب سائٹ کے ذریعے استعمال کیا جا سکتا ہے جسے صارف ملاحظہ کرتا ہے۔ درحقیقت، ایک سمجھوتہ ایک محدود بیک ڈور کے مترادف ہے جو ایک ڈیوائس کو محدود بوٹ نیٹ کا حصہ بناتا ہے۔ صلاحیتیں انہی چیزوں تک محدود ہیں جو براؤزر کر سکتا ہے، جیسے کہ بدنیتی پر مبنی سائٹس پر جانا، دوسروں کے ذریعے گمنام پراکسی براؤزنگ فراہم کرنا، پراکسیڈ DDoS حملوں کو فعال کرنا، اور صارف کی سرگرمی کی نگرانی کرنا۔ بہر حال، یہ استحصال حملہ آور کو ہزاروں، ممکنہ طور پر لاکھوں، آلات کو نیٹ ورک میں گھسیٹنے کی اجازت دے سکتا ہے۔ ایک بار جب ایک الگ خطرہ دستیاب ہو جاتا ہے، حملہ آور اسے استعمال کر کے پھر ان تمام آلات سے سمجھوتہ کر سکتا ہے۔

“یہاں خطرناک حصہ یہ ہے کہ آپ کے پاس بہت سارے مختلف براؤزر ایک ساتھ ہوسکتے ہیں جس سے آپ مستقبل میں کچھ چلا سکتے ہیں جس کے بارے میں آپ کو پتہ چل گیا ہے،” لیرا ریبین نے کہا، خود مختار محقق جس نے اس خطرے کو دریافت کیا اور نجی طور پر گوگل کو اس کی اطلاع 2022 کے آخر میں ایک انٹرویو میں دی۔ انہوں نے کہا کہ گوگل کے وقت سے پہلے شائع ہونے والے ایکسپلائٹ کوڈ کا استعمال “بہت آسان” ہوگا، حالانکہ اسے ایک ہی نیٹ ورک میں بڑی تعداد میں ڈیوائسز کو رینگل کرنے کے لیے مزید کام کی ضرورت ہوگی۔ گوگل کو ریبین کے انکشاف کے سلسلے میں، دو ڈویلپرز نے الگ الگ جوابات میں کہا کہ یہ ایک “سنگین خطرہ” ہے۔ اس کی شدت کو S1 درجہ دیا گیا، جو دوسری اعلیٰ درجہ بندی ہے۔

29 مہینے پہلے اس کی رپورٹنگ کے بعد سے، Chromium ڈویلپرز کے علاوہ خطرے کا پتہ نہیں چلا۔ پھر بدھ کی صبح، اسے کرومیم بگ ٹریکر پر شائع کیا گیا۔ Rebane ابتدائی طور پر فرض کیا خطرے کو آخر میں طے کیا گیا تھا. اس کے فوراً بعد، اس نے سیکھا کہ، درحقیقت، یہ بے ترتیب ہے۔ جب کہ گوگل نے پوسٹ کو ہٹا دیا، یہ ایکسپلائٹ کوڈ کے ساتھ آرکائیول سائٹس پر دستیاب ہے۔