શું તમે જૂના ક્રોમનો ઉપયોગ કરી રહ્યા છો? તમારી સિસ્ટમ હેક થઈ શકે છે?
ગૂગલે તેના ક્રોમ બ્રાઉઝર માટે અનેક તાત્કાલિક સુરક્ષા અપડેટ્સ જારી કર્યા છે, જેમાં ઘણી મહત્વપૂર્ણ મેમરી હેન્ડલિંગ અને શૂન્ય-દિવસની ખામીઓને સંબોધવામાં આવી છે જે હુમલાખોરોને ડેસ્કટોપ સિસ્ટમ્સ પર દૂરસ્થ રીતે મનસ્વી કોડ ચલાવવાની મંજૂરી આપી શકે છે. યુનાઇટેડ સ્ટેટ્સની સાયબર સુરક્ષા અને ઇન્ફ્રાસ્ટ્રક્ચર સુરક્ષા એજન્સી (CISA) અને ભારતીય કમ્પ્યુટર ઇમરજન્સી રિસ્પોન્સ ટીમ (CERT-In) બંનેએ ઉચ્ચ-સ્તરીય સુરક્ષા ચેતવણીઓ જારી કરી છે, જે વૈશ્વિક સ્તરે વપરાશકર્તાઓ માટે ગંભીર જોખમ પર ભાર મૂકે છે.
સક્રિય રીતે શોષિત શૂન્ય-દિવસની ખામી ફેડરલ કાર્યવાહીની માંગ કરે છે
CISA એ સક્રિય રીતે શોષિત શૂન્ય-દિવસની નબળાઈ અંગે તાત્કાલિક ચેતવણી જારી કરી છે, જેને CVE-2025-10585 તરીકે ઓળખવામાં આવે છે. આ મહત્વપૂર્ણ ખામી એ ક્રોમિયમની અંદર V8 JavaScript અને WebAssembly એન્જિનમાં સ્થિત એક પ્રકારની મૂંઝવણ ખામી છે. જ્યારે કોઈ પ્રોગ્રામ ઑબ્જેક્ટના પ્રકારનું ખોટું અર્થઘટન કરે છે, ત્યારે ટાઇપ મૂંઝવણ ભૂલો થાય છે, જે દૂષિત કલાકારોને મેમરી સ્ટ્રક્ચર્સમાં ફેરફાર કરવા અને મનસ્વી કોડ ચલાવવા માટે સક્ષમ બનાવે છે.
ધમકી આપનારા કલાકારો પહેલાથી જ વાસ્તવિક દુનિયાના હુમલાઓમાં આ ખામીનો ઉપયોગ કરી રહ્યા છે, ઘણીવાર દૂષિત વેબ પૃષ્ઠો બનાવીને જે અયોગ્ય પ્રકારનું હેન્ડલિંગ ટ્રિગર કરે છે, જે મેમરી ભ્રષ્ટાચાર અને સંભવિત રિમોટ કોડ એક્ઝિક્યુટિવ (RCE) તરફ દોરી જાય છે. શોષણ માટે ન્યૂનતમ વપરાશકર્તા ક્રિયાપ્રતિક્રિયાની જરૂર પડે છે—માત્ર ચેડા કરાયેલ અથવા દૂષિત સાઇટની મુલાકાત લેવાથી શોષણ થઈ શકે છે.
તેના ગંભીર સ્વભાવને કારણે, CISA એ 23 સપ્ટેમ્બર, 2025 ના રોજ તેના જાણીતા શોષિત નબળાઈઓ સૂચિમાં CVE-2025-10585 ઉમેર્યું. બાઇન્ડિંગ ઓપરેશનલ ડાયરેક્ટિવ BOD 22-01 હેઠળ, યુ.એસ. ફેડરલ એજન્સીઓને સુરક્ષા પેચ લાગુ કરવા અથવા અસરગ્રસ્ત ક્રોમ ઇન્સ્ટોલેશનનો ઉપયોગ અસ્થાયી રૂપે બંધ કરવા માટે 14 ઓક્ટોબર, 2025 ની ફરજિયાત સમયમર્યાદાનો સામનો કરવો પડે છે. ખાનગી ક્ષેત્રના સંગઠનોને આ નિર્દેશનું પાલન કરવા માટે ભારપૂર્વક વિનંતી કરવામાં આવે છે.
વધારાના જટિલ RCE બગ્સ પેચ કરવામાં આવ્યા
V8 એન્જિન ખામી ઉપરાંત, ગૂગલે Windows, Linux અને MacOS ડેસ્કટોપ સંસ્કરણોને અસર કરતી ઘણી અન્ય ઉચ્ચ-ગંભીરતા નબળાઈઓ માટે પેચ બહાર પાડ્યા.
ભારત સરકારના CERT-In એ ભારતમાં વપરાશકર્તાઓને ઉચ્ચ-જોખમ સુરક્ષા સમસ્યા અંગે ચેતવણી જારી કરી હતી જ્યાં રિમોટ હુમલાખોરો લક્ષિત સિસ્ટમ પર મનસ્વી કોડ ચલાવી શકે છે. આ ચેતવણીમાં અનેક ખામીઓ આવરી લેવામાં આવી છે જેમાં શામેલ છે:
- V8 માં મફત પછી ઉપયોગ કરો.
- WebGPU અને વિડિઓમાં હીપ બફર ઓવરફ્લો.
- મીડિયામાં વાંચવામાં આવેલી મર્યાદાની બહાર.
અલગથી, Google એ એક મહત્વપૂર્ણ બગ, CVE-2025-11756 ને પેચ કર્યો, જે Chrome ની સેફ બ્રાઉઝિંગ સુવિધામાં ઉપયોગ-આફ્ટર-ફ્રી મેમરી ભૂલ (CWE-416) માંથી ઉદ્ભવ્યો હતો. આ ખાસ કરીને ચિંતાજનક છે કારણ કે Safe Browsing એલિવેટેડ વિશેષાધિકારો સાથે ચાલે છે, જેનો અર્થ છે કે સફળ શોષણ Chrome ના મજબૂત સેન્ડબોક્સ સુરક્ષાને બાયપાસ કરી શકે છે અને સંભવિત રીતે અંતર્ગત ઓપરેટિંગ સિસ્ટમને સંપૂર્ણ ઍક્સેસ આપી શકે છે.
આ સમસ્યાઓને ઠીક કરવા માટે તાત્કાલિક સુરક્ષા અપડેટ્સ રિલીઝ કરવામાં આવ્યા હતા. અસરગ્રસ્ત સોફ્ટવેર સંસ્કરણોમાં Windows અને Mac માટે 141.0.7390.107/.108 પહેલાના Google Chrome સંસ્કરણો અને Linux માટે 141.0.7390.107 પહેલાના સંસ્કરણો શામેલ છે.
દૂષિત એક્સ્ટેન્શન્સનો વધતો ખતરો
જ્યારે આ પેચ લાગુ કરવા મહત્વપૂર્ણ છે, ત્યારે સુરક્ષા નિષ્ણાતો ચેતવણી આપે છે કે Chrome ના અબજો વપરાશકર્તાઓ માટે, ગૌણ, છુપાયેલ ખતરો લાંબા ગાળાના જોખમને વધુ ઊભો કરે છે: દૂષિત બ્રાઉઝર એક્સ્ટેન્શન્સ.
તાજેતરના એક ધમકી અહેવાલમાં જાણવા મળ્યું છે કે “લાખો વપરાશકર્તાઓનો ડેટા એવા એક્સટેન્શન દ્વારા ચોરાઈ ગયો છે” જે સત્તાવાર રીતે ચકાસાયેલ અથવા સૌમ્ય દેખાય છે પરંતુ ઉપકરણો પર હુમલો કરવા માટે ડિઝાઇન અથવા હાઇજેક કરવામાં આવ્યા છે. આ દૂષિત એક્સટેન્શન:
- ડેટા એક્સફિલ્ટ્રેટ કરી શકે છે.
- સત્ર કૂકીઝ ચોરી શકે છે.
- સ્પાયવેર ફેલાવી શકે છે.
- બ્રાઉઝર સત્રોને હાઇજેક કરી શકે છે.
નિષ્ણાતો ચેતવણી આપે છે કે એન્ટરપ્રાઇઝ ઘણીવાર સુરક્ષા નક્કી કરવા માટે ‘વેરિફાઇડ’ અથવા ‘ક્રોમ ફીચર્ડ’ જેવા એક્સટેન્શન સ્ટોર બેજ પર આધાર રાખે છે, એક અભિગમ “અત્યંત ખામીયુક્ત” સાબિત થયો છે કારણ કે હુમલાખોરો નકલી સમીક્ષાઓ અને મોટા પાયે ડાઉનલોડ્સ સાથે આ લેબલ્સને સરળતાથી ગેમિફાઇ કરી શકે છે. એક્સટેન્શન એક શક્તિશાળી ધમકી વેક્ટર છે કારણ કે તેઓ ઘણીવાર વપરાશકર્તા ઓળખપત્રો સાથે કાર્ય કરે છે અને તેમને વ્યાપક “સુપરપાવર” આપવામાં આવે છે, જેમ કે ક્રોસ-ઓરિજિન વિનંતી પ્રતિબંધોને બાયપાસ કરવા અને કોઈપણ વેબ પૃષ્ઠ વાંચવા/સંશોધિત કરવા.
ભલામણો: તાત્કાલિક પેચ
આ ઉચ્ચ-ગંભીરતા ખામીઓ સામે સિસ્ટમને સુરક્ષિત રાખવા માટે, વપરાશકર્તાઓ અને વહીવટકર્તાઓએ તાત્કાલિક પગલાં લેવા જોઈએ:
પેચિંગને પ્રાથમિકતા આપો: Google Chrome ના નવીનતમ સ્થિર અપડેટને તાત્કાલિક લાગુ કરો. સ્વચાલિત અપડેટ્સ પ્રમાણભૂત છે, પરંતુ વપરાશકર્તાઓને તેમની અપડેટ સ્થિતિ મેન્યુઅલી ચકાસવાની ભારપૂર્વક સલાહ આપવામાં આવે છે.
મેન્યુઅલ ચકાસણી: ઉપર-જમણા ખૂણામાં ત્રણ બિંદુઓવાળા આયકન પર નેવિગેટ કરીને, પછી સહાય > Chrome વિશે પસંદ કરીને તમારા Chrome સંસ્કરણને તપાસો. અપડેટ પૂર્ણ થયા પછી, સુધારાને લાગુ કરવા માટે બ્રાઉઝરને બંધ કરો અને ફરીથી ખોલો.
એન્ટરપ્રાઇઝ ડિપ્લોયમેન્ટ: સિસ્ટમ સંચાલકોએ ગ્રુપ પોલિસી જેવા કેન્દ્રિય સાધનો દ્વારા ડિપ્લોયમેન્ટને પ્રાથમિકતા આપતા, બધા વપરાશકર્તા એન્ડપોઇન્ટ્સ અને સર્વર્સ પર Chrome અપડેટ્સ લાગુ કરવા જોઈએ.
પર્યાવરણને સખત બનાવો: સંસ્થાઓએ વહીવટી અધિકારોને મર્યાદિત કરવા જોઈએ, સમાધાન સૂચકો માટે બ્રાઉઝર ટેલિમેટ્રી અને નેટવર્ક ટ્રાફિકનું નિરીક્ષણ કરવું જોઈએ અને બ્રાઉઝર આઇસોલેશન તકનીકોનો ઉપયોગ કરીને અવિશ્વસનીય વેબ સામગ્રીની ઍક્સેસને પ્રતિબંધિત કરવી જોઈએ.
ઓડિટ એક્સ્ટેન્શન્સ: કયા એક્સ્ટેન્શન્સ ઇન્સ્ટોલ કરેલા છે તે અંગે અત્યંત સાવધાની રાખવી જોઈએ, કારણ કે તે સતત સુરક્ષા જોખમનું પ્રતિનિધિત્વ કરે છે. Chrome બિલ્ડ્સને માનક બનાવો અને ફક્ત ચકાસાયેલ, વિશ્વસનીય એક્સ્ટેન્શન્સને મંજૂરી આપો.
શૂન્ય-વિશ્વાસ અપનાવો: જેમ જેમ ધમકીઓ વિશ્વસનીય એપ્લિકેશનોનું વધુને વધુ શોષણ કરે છે, તેમ તેમ કોઈપણ પ્રક્રિયા આપમેળે ડિફોલ્ટ રૂપે વિશ્વસનીય ન થાય તેની ખાતરી કરવા માટે શૂન્ય-વિશ્વાસ સુરક્ષા મોડેલ અપનાવવું આવશ્યક છે.
