V8 ಎಂಜಿನ್‌ನಲ್ಲಿನ ಬದಲಾವಣೆಗಳ ವಿಶ್ಲೇಷಣೆಯ ಮೂಲಕ Chrome ನಲ್ಲಿ 🥇0 ದಿನಗಳ ದುರ್ಬಲತೆಯನ್ನು ಕಂಡುಹಿಡಿಯಲಾಗಿದೆ

ಎಕ್ಸೋಡಸ್ ಇಂಟೆಲಿಜೆನ್ಸ್‌ನ ಸಂಶೋಧಕರು ಪ್ರದರ್ಶಿಸಿದ್ದಾರೆ ಕ್ರೋಮ್/ಕ್ರೋಮಿಯಂ ಕೋಡ್‌ಬೇಸ್‌ನಲ್ಲಿ ದುರ್ಬಲತೆ ಪ್ಯಾಚಿಂಗ್ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿನ ದೌರ್ಬಲ್ಯ. ಗೂಗಲ್ ತಾನು ಮಾಡುವ ಪ್ಯಾಚ್‌ಗಳು ಬಿಡುಗಡೆಯ ನಂತರವೇ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸುತ್ತವೆ ಎಂದು ಬಹಿರಂಗಪಡಿಸಿದ್ದರಿಂದ ಸಮಸ್ಯೆ ಉದ್ಭವಿಸಿದೆ, ಆದರೆ
ಬಿಡುಗಡೆಯ ಮೊದಲು V8 ಎಂಜಿನ್‌ನಲ್ಲಿನ ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸಲು ರೆಪೊಸಿಟರಿಗೆ ಕೋಡ್ ಅನ್ನು ಸೇರಿಸುತ್ತದೆ. ಪರಿಹಾರಗಳು ಸ್ವಲ್ಪ ಸಮಯದವರೆಗೆ ಪರೀಕ್ಷೆಗೆ ಒಳಗಾಗುತ್ತವೆ ಮತ್ತು ಕೋಡ್‌ಬೇಸ್‌ನಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸುವ ಮತ್ತು ವಿಶ್ಲೇಷಣೆಗೆ ಲಭ್ಯವಿರುವ ವಿಂಡೋ ತೆರೆಯುತ್ತದೆ, ಆದರೆ ದುರ್ಬಲತೆಯು ಬಳಕೆದಾರ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಹೊಂದಾಣಿಕೆಯಾಗದೆ ಉಳಿಯುತ್ತದೆ.

ಭಂಡಾರದಲ್ಲಿ ಮಾಡಲಾದ ಬದಲಾವಣೆಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡುವಾಗ, ಫೆಬ್ರವರಿ 19 ರಂದು ಸೇರಿಸಲಾದ ಏನನ್ನಾದರೂ ಸಂಶೋಧಕರು ಗಮನಿಸಿದರು. ತಿದ್ದುಪಡಿ ಮತ್ತು ಮೂರು ದಿನಗಳಲ್ಲಿ ಅವರು ತಯಾರಿ ಮಾಡಲು ಸಾಧ್ಯವಾಯಿತು ಶೋಷಣೆ, ಇದು Chrome ನ ಪ್ರಸ್ತುತ ಆವೃತ್ತಿಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ (ಪ್ರಕಟಿತ ಶೋಷಣೆಯು ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಘಟಕಗಳನ್ನು ಒಳಗೊಂಡಿರಲಿಲ್ಲ). Google ತ್ವರಿತವಾಗಿ. ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ ಪ್ರಸ್ತಾವಿತ ಶೋಷಣೆಗೆ ಸಂಬಂಧಿಸಿದ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸುವ ಕ್ರೋಮ್ ನವೀಕರಣ 80.0.3987.122 ದುರ್ಬಲತೆ (CVE-2020-6418). ಈ ದುರ್ಬಲತೆಯನ್ನು ಆರಂಭದಲ್ಲಿ Google ಎಂಜಿನಿಯರ್‌ಗಳು ಕಂಡುಹಿಡಿದರು ಮತ್ತು JSCreate ಕಾರ್ಯಾಚರಣೆಯಲ್ಲಿನ ಪ್ರಕಾರ ನಿರ್ವಹಣೆ ಸಮಸ್ಯೆಯಿಂದ ಇದು ಉಂಟಾಗುತ್ತದೆ, ಇದನ್ನು Array.pop ಅಥವಾ Array.prototype.pop ವಿಧಾನದ ಮೂಲಕ ಬಳಸಿಕೊಳ್ಳಬಹುದು. ಗಮನಾರ್ಹವಾಗಿ, ಇದೇ ರೀತಿಯ ಸಮಸ್ಯೆ ಸ್ಥಿರ ಕಳೆದ ಬೇಸಿಗೆಯಲ್ಲಿ ಫೈರ್‌ಫಾಕ್ಸ್‌ನಲ್ಲಿ.

ಸೇರ್ಪಡೆಯಿಂದಾಗಿ ಶೋಷಣೆ ಸೃಷ್ಟಿಯನ್ನು ಸರಳೀಕರಿಸಲಾಗಿದೆ ಎಂದು ಸಂಶೋಧಕರು ಗಮನಿಸಿದ್ದಾರೆ Chrome 80 ಯಾಂತ್ರಿಕ ವ್ಯವಸ್ಥೆ ಪಾಯಿಂಟರ್‌ಗಳ ಪ್ಯಾಕೇಜಿಂಗ್ (ಪೂರ್ಣ 64-ಬಿಟ್ ಮೌಲ್ಯವನ್ನು ಸಂಗ್ರಹಿಸುವ ಬದಲು, ಪಾಯಿಂಟರ್‌ನ ವಿಶಿಷ್ಟವಾದ ಕೆಳಗಿನ ಬಿಟ್‌ಗಳನ್ನು ಮಾತ್ರ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ, ಇದು ಹೀಪ್ ಮೆಮೊರಿ ಬಳಕೆಯನ್ನು ಗಮನಾರ್ಹವಾಗಿ ಕಡಿಮೆ ಮಾಡುತ್ತದೆ.) ಉದಾಹರಣೆಗೆ, ಹೀಪ್‌ನ ಆರಂಭದಲ್ಲಿ ಇರುವ ಕೆಲವು ಡೇಟಾ ರಚನೆಗಳು, ಉದಾಹರಣೆಗೆ ಅಂತರ್ನಿರ್ಮಿತ ಕಾರ್ಯಗಳ ಕೋಷ್ಟಕ, "ಸ್ಥಳೀಯ ಸಂದರ್ಭ" ವಸ್ತುಗಳು ಮತ್ತು ಮೂಲ ವಸ್ತುಗಳು ಕಸ ಸಂಗ್ರಹಕಾರರನ್ನು ಈಗ ಊಹಿಸಬಹುದಾದ, ಬರೆಯಬಹುದಾದ ಪ್ಯಾಕ್ ಮಾಡಿದ ವಿಳಾಸಗಳಲ್ಲಿ ಇರಿಸಲಾಗಿದೆ.

ಕುತೂಹಲಕಾರಿಯಾಗಿ, ಸುಮಾರು ಒಂದು ವರ್ಷದ ಹಿಂದೆ, ಎಕ್ಸೋಡಸ್ ಇಂಟೆಲಿಜೆನ್ಸ್ ಮಾಡಿದ V8 ನಲ್ಲಿ ಸಾರ್ವಜನಿಕ ಪ್ಯಾಚ್ ಲಾಗ್ ಅನ್ನು ಅಧ್ಯಯನ ಮಾಡುವ ಆಧಾರದ ಮೇಲೆ ಶೋಷಣೆಯನ್ನು ರಚಿಸುವ ಸಾಧ್ಯತೆಯ ಇದೇ ರೀತಿಯ ಪ್ರದರ್ಶನವನ್ನು ನಡೆಸಲಾಯಿತು, ಆದರೆ ಸ್ಪಷ್ಟವಾಗಿ ಯಾವುದೇ ತೀರ್ಮಾನಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳಲಾಗಿಲ್ಲ. ಸಂಶೋಧಕರ ಸ್ಥಾನದಲ್ಲಿ
ಎಕ್ಸೋಡಸ್ ಇಂಟೆಲಿಜೆನ್ಸ್ ಹ್ಯಾಕರ್‌ಗಳು ಅಥವಾ ಗುಪ್ತಚರ ಸಂಸ್ಥೆಗಳಾಗಿರಬಹುದು, ಅವರು ಒಂದು ಶೋಷಣೆಯನ್ನು ಸೃಷ್ಟಿಸಿದ್ದರೆ, ಮುಂದಿನ ಕ್ರೋಮ್ ಬಿಡುಗಡೆಗೆ ಕೆಲವು ದಿನಗಳು ಅಥವಾ ವಾರಗಳ ಮೊದಲು ದುರ್ಬಲತೆಯನ್ನು ರಹಸ್ಯವಾಗಿ ಬಳಸಿಕೊಳ್ಳುವ ಅವಕಾಶವನ್ನು ಹೊಂದಿರುತ್ತಿದ್ದರು.

ಮೂಲ: opennet.ru

V0 ಎಂಜಿನ್‌ನಲ್ಲಿನ ಬದಲಾವಣೆಗಳ ವಿಶ್ಲೇಷಣೆಯ ಮೂಲಕ Chrome ನಲ್ಲಿ 8-ದಿನದ ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ

ProHoster