 |
| Firefox Users Warned to Patch Critical Flaw |
Mozilla अपने फ़ायरफ़ॉक्स ब्राउज़रों के उपयोगकर्ताओं से आग्रह कर रहा है कि वे एक महत्वपूर्ण शून्य-दिवस भेद्यता को ठीक करने के लिए तुरंत अपडेट करें। विंडोज, मैकओएस या लिनक्स डेस्कटॉप पर फ़ायरफ़ॉक्स का उपयोग करने वाला कोई भी व्यक्ति जोखिम में है।
भेद्यता, CVE-2019011707, Array.pop में एक प्रकार का भ्रम है। इसे फ़ायरफ़ॉक्स 67.0.3 और फ़ायरफ़ॉक्स ईएसआर 60.7.1 में पैच किया गया है।
Mozilla ने मंगलवार को पैच की घोषणा की, लेकिन भेद्यता की खोज Google प्रोजेक्ट ज़ीरो के सैमुअल ग्रो ने 15 अप्रैल को की।
Mozilla ने डिजिटल मुद्रा विनिमय के बाद फिक्स को लागू किया, कॉइनबेस ने लक्षित भाले के हमलों के लिए भेद्यता के शोषण की सूचना दी।
फ़ायरफ़ॉक्स ब्राउज़र इंजीनियरिंग की सीनियर डायरेक्टर सेलेना डेकेलमैन ने कहा, "सोमवार, 17 जून, 2019 को, कॉइनबेस ने स्पीयर फ़िशिंग अभियान के लिए लक्षित हमलों के हिस्से के रूप में उपयोग की गई भेद्यता की सूचना दी।" "24 घंटे से भी कम समय में, हमने शोषण के लिए एक निश्चित समय जारी किया।"
Coinbase हैक का महत्व
हैकर क्रिप्टोकरंसी के बाद प्रतिशोध के साथ जा रहे हैं। इस वर्ष की पहली छमाही में जितने हमले हुए हैं, उतने पूरे साल के दौरान हुए थे, कॉइन्टेग्राफ के अनुसार।
इस साल अब तक, करोड़ों डॉलर की क्रिप्टोकरेंसी की चोरी हो चुकी है, एक्सचेंजों ने कहा है।
साइबर अपराधियों ने पिछले साल क्यू 1 द्वारा क्रिप्टोक्यूरेंसी के लगभग एक बिलियन डॉलर की कीमत चुरा ली थी, सिफर्ट्रेस ने बताया।
कॉइनबेस पर हमला ट्रेंड को ध्यान में रखकर किया गया है।
एक्सचेंज को बार-बार निशाना बनाया गया है। 2018 में, हैक के एक स्ट्रिंग की कीमत 40 बिटकॉइन से अधिक है।
जनवरी में, Coinbase ने Ethereum Classic पर अस्थायी रूप से सभी ट्रेडिंग को फ्रीज कर दिया, क्योंकि उसने क्रिप्टोक्यूरेंसी के नेटवर्क पर हमले का पता लगाया था।
स्पीयरफ़िशिंग हमले एक ब्लॉकचेन नेटवर्क की शक्ति के बहुमत पर नियंत्रण हासिल करने का एक प्रयास हो सकता है, जिसे "51 प्रतिशत हमला" कहा जाता है।
डेविड वोरिक, ब्लॉकचैन-आधारित फ़ाइल स्टोराग प्लेटफ़ॉर्म SIA के कॉफ़ाउंडर ने 2019 को 51 प्रतिशत हमले का वर्ष घोषित किया।
ज्वाला का तकनीकी विवरण
एक प्रकार का भ्रम भेद्यता तब हो सकती है जब Array.pop में मुद्दों के कारण जावास्क्रिप्ट ऑब्जेक्ट्स में हेरफेर किया जाता है, मोज़िला ने कहा।
जावास्क्रिप्ट में एक सरणी एक एकल चर है जिसका उपयोग कई तत्वों को संग्रहीत करने के लिए किया जाता है। इसका उपयोग अक्सर तब किया जाता है जब देव तत्वों की एक सूची को संग्रहीत करना चाहते हैं और उन्हें एक एकल चर के साथ एक्सेस करना चाहते हैं।
एक प्रकार, या डेटा प्रकार, डेटा की एक विशेषता है जो संकलक या दुभाषिया को बताता है कि प्रोग्रामर डेटा का उपयोग कैसे करना चाहता है। यह उन मानों को विवश करता है जो एक अभिव्यक्ति जैसे कि एक चर या फ़ंक्शन हो सकते हैं, उन परिचालनों को परिभाषित करते हैं जो डेटा पर किए जा सकते हैं, डेटा का अर्थ और उस प्रकार के मान संग्रहीत किए जा सकते हैं।
प्रकार भ्रम तब होता है जब कोई प्रोग्राम किसी संसाधन, जैसे ऑब्जेक्ट, पॉइंटर या वैरिएबल को आबंटित या प्रारंभ करने के लिए एक प्रकार का उपयोग करता है, लेकिन बाद में किसी अन्य प्रकार का उपयोग करता है जो उस संसाधन तक पहुंचने के लिए पहले के साथ असंगत है। यह तार्किक त्रुटियों को ट्रिगर कर सकता है क्योंकि संसाधन में अपेक्षित गुण नहीं हैं। कुछ मामलों में, यह कोड निष्पादन को जन्म दे सकता है।
पॉप () विधि किसी सरणी से अंतिम तत्व को हटा देती है, उस तत्व को वापस कर देती है और सरणी की लंबाई को बदल देती है।
द मीडिया ट्रस्ट के डिजिटल सुरक्षा और संचालन प्रबंधक उस्मान रहीम ने कहा, "Array.pop का उपयोग आमतौर पर डेवलपर्स द्वारा सरणी में नए मूल्यों को हटाने और जोड़ने के लिए Array.push के साथ किया जाता है।"
"इस तकनीक का उपयोग कई दुर्भावनापूर्ण अभिनेताओं द्वारा निष्पादन के दौरान दुर्भावनापूर्ण कोड को फेरबदल करने के लिए भी किया जाता है," उन्होंने TechNewsWorld को बताया।
खतरा स्तर
ग्रू ने कहा कि रिमोट कोड निष्पादन (आरसीई) और यूनिवर्सल क्रॉस-साइट स्क्रिप्टिंग (यूएक्सएसएस) के लिए दोष का फायदा उठाया जा सकता है।
पिछले हैक हमलों में दोनों तरीकों का व्यापक रूप से उपयोग किया गया है।
रहीम ने कहा, "आरसीई के पास एप्लिकेशन और वेब सर्वर से पूरी तरह से समझौता करके एक हमलावर की दया पर उपयोगकर्ता होगा।" परिष्कृत हमलावरों को पता है कि वे क्या देख रहे हैं "एक गंभीर झटका लगा सकता है।"
UXSS सिर्फ उतना ही खतरनाक है क्योंकि यह दुर्भावनापूर्ण कोड को इंजेक्ट करने के लिए हमलावरों के लिए द्वार खोलता है और ब्राउज़र की सुरक्षा सुविधाओं को बायपास या अक्षम करता है, उन्होंने कहा। इसे "अन्य हमलों के साथ संयोजन में सुरक्षा को अक्षम करने के लिए पहले कदम के रूप में भी इस्तेमाल किया जा सकता है।"
एंडरेल समूह के प्रमुख विश्लेषक रॉब एंडरले ने कहा, "ज्यादातर इस्तेमाल किए गए कारनामे" सक्रिय उपयोग के सबूत के बिना सैद्धांतिक हैं।
"यह एक सक्रिय उपयोग के सबूत है, जिसका अर्थ है कि यह ज्ञात है और पहले से ही लोग इसका लाभ उठा रहे हैं," उन्होंने TechNewsWorld को बताया।
"यह देखते हुए कि एक हमले में इसका इस्तेमाल किया गया था, यह बहुत खतरनाक है, लेकिन इसे ठीक कर दिया गया है," एंडरले ने कहा। "यह दिखाता है कि आपके सॉफ़्टवेयर उत्पादों, विशेष रूप से ब्राउज़रों, पैच किए गए और अद्यतित रखने के लिए अविश्वसनीय रूप से महत्वपूर्ण है। पैचिंग आपके लिए सबसे अच्छा बचाव है।"