ગૂગલે 2022માં શૂન્ય દિવસની નબળાઈનો રિપોર્ટ ફાઈલ કર્યો હતો

થોડા દિવસો પહેલા ટીમ Google સુરક્ષાનું અનાવરણ કર્યું બ્લોગ પોસ્ટ દ્વારા, એ બધા સંગ્રહ પર અહેવાલ ગયા વર્ષ (2022) થી સંબંધિત 0 દિવસની નબળાઈઓ જ્યાં પહેલાં શોષણ દેખાયા વિકાસ કરવો પેચો સંબંધિત નબળા સોફ્ટવેર માટે.

તેમના પ્રસ્તુત અહેવાલમાં તેઓએ ઉલ્લેખ કર્યો છે કે 2022 દરમિયાન પ્રોજેક્ટ ઝીરો ટીમે 41 દિવસમાં 0 નબળાઈઓ ઓળખી (40 માં જોવા મળેલા લોકો કરતા 2021% ઓછા) અને નબળાઈઓની સંખ્યામાં નોંધપાત્ર ઘટાડો થયો હોવા છતાં, સંખ્યા પાછલા 6 વર્ષની સરેરાશ કરતા વધારે છે.

જંગલી [0, 2021, 2020] માં શોષણ કરાયેલ 2019 દિવસની Googleની આ ચોથી વાર્ષિક સમીક્ષા છે અને 2022ની મધ્ય-વર્ષની સમીક્ષા પર આધારિત છે. આ રિપોર્ટનો ધ્યેય દરેક વ્યક્તિગત શોષણની વિગત આપવાનો નથી, પરંતુ તેના શોષણનું વિશ્લેષણ કરવાનો છે. સમગ્ર વર્ષ, વલણો, ગાબડાં, શીખેલા પાઠ અને સફળતાઓ શોધી રહ્યાં છે.

તેવો ઉલ્લેખ છે મોટી સંખ્યામાં શૂન્ય દિવસની નબળાઈઓના ઉદભવને સંભવિત રીતે પરિબળો દ્વારા સુવિધા આપવામાં આવે છે જેમ કે હુમલાખોરોને હુમલા કરવા માટે શોષણનો ઉપયોગ કરવાની સતત જરૂરિયાત અને આવી નબળાઈઓ શોધવા માટેની સરળ પદ્ધતિઓ, એ હકીકત ઉપરાંત કે પેચોના એપ્લિકેશનની ઝડપમાં વધારો એ પહેલાથી જાણીતી સમસ્યાઓનો ઉપયોગ કરવાને બદલે આ પ્રકારની નબળાઈઓ શોધવાનું જરૂરી બનાવે છે. આ પણ એક પરિબળ છે, કારણ કે નબળા પેચિંગ લેખકોને જાણીતી નબળાઈઓ માટે નવા હુમલા વેક્ટર શોધવાની મંજૂરી આપે છે.

ઉદાહરણ તરીકે, 40 માં ઓળખાયેલ શૂન્ય-દિવસના શોષણમાંથી 17% (41 માંથી 2022) કરતાં વધુ અગાઉ પેચ કરેલા અને જાહેરમાં જાહેર કરાયેલ નબળાઈઓ સાથે સંબંધિત હતા. નબળાઈઓ માટે અપૂરતા સંપૂર્ણ અથવા નિમ્ન-ગુણવત્તાવાળા ફિક્સેસને કારણે આવી તક ઊભી થાય છે - નબળા પ્રોગ્રામ્સના વિકાસકર્તાઓ ઘણીવાર ફક્ત એક વિશિષ્ટ કેસને ઠીક કરે છે અથવા સમસ્યાના મૂળ સુધી પહોંચ્યા વિના ફક્ત ફિક્સનો દેખાવ બનાવે છે. આવી શૂન્ય-દિવસની નબળાઈઓને વધુ તપાસ અને નબળાઈઓના નિવારણ સાથે સંભવિતપણે અટકાવી શકાય છે.

નબળાઈઓની સંખ્યામાં ઘટાડો 0ની સરખામણીમાં 2021 દિવસ એ હકીકત દ્વારા સમજાવી શકાય છે કે વધુ સમય, જ્ઞાન અને પૈસાની જરૂર છે શોષણ બનાવવા માટે, સંરક્ષણ પદ્ધતિઓના વધુ સક્રિય ઉપયોગને કારણે શોષણક્ષમ નબળાઈઓની સંખ્યામાં ઘટાડો થાય છે, દરેક શોષણ માટે, નવી ઓપરેશનલ તકનીકો ઘણીવાર વિકસિત થાય છે.

0 દિવસની નબળાઈઓમાં ઘટાડો ફિશિંગ અને માલવેર વિતરણ જેવી સરળ હુમલા પદ્ધતિઓના ઉપયોગને કારણે પણ હોઈ શકે છે. વપરાશકર્તાઓ દ્વારા ફિક્સેસની અરજીમાં વિલંબ થવાને કારણે જાણીતી નબળાઈઓ માટેના શોષણને બાયપાસ કરવાની ક્ષમતાથી પણ તે પ્રભાવિત થઈ શકે છે.

રિપોર્ટમાં એવું તારણ છે Android માં N-day patched નબળાઈઓ માટેના શોષણ 0-દિવસની નબળાઈઓ કરતાં ઓછા અસરકારક નથી અપડેટ્સ જનરેટ કરવામાં પ્રદાતાઓના વિલંબને કારણે. ઉદાહરણ તરીકે, જો Google એન્ડ્રોઇડ કોર પ્લેટફોર્મમાં નબળાઈને ઝડપથી ઠીક કરે તો પણ, આ નબળાઈ માટેનો સુધારો મહિનાઓ પછી સુધી મોટાભાગના વપરાશકર્તાઓ માટે ઉપલબ્ધ ન હોઈ શકે, કારણ કે અંતિમ ઉપકરણ ઉત્પાદકો તમારા ફર્મવેર રિવિઝનને પોર્ટ ફિક્સ કરવામાં ઘણી વાર ધીમું હોય છે.

તેનું ઉદાહરણ છે ક્રોમ 2022 બ્રાઉઝર એન્જિનમાં ઓળખાયેલ CVE-3038-105 નબળાઈ અને જૂન 2022 માં નિશ્ચિત કરવામાં આવી હતી. સેમસંગ ઈન્ટરનેટ જેવા વિક્રેતાઓના ચોક્કસ બ્રાઉઝર્સમાં આ નબળાઈ લાંબા સમય સુધી અનપેચ રહી. ડિસેમ્બર 2022 માં, આ નબળાઈ માટે શોષણનો ઉપયોગ કરીને સેમસંગ વપરાશકર્તાઓ પરના હુમલાના તથ્યો જાહેર કરવામાં આવ્યા હતા (ડિસેમ્બરમાં, સેમસંગના ઇન્ટરનેટ બ્રાઉઝરના વર્તમાન સંસ્કરણે મે 102 માં રજૂ કરાયેલ ક્રોમિયમ 2022 એન્જિનનો ઉપયોગ કરવાનું ચાલુ રાખ્યું હતું).

તે જ સમયે, બ્રાઉઝર્સ માટે, રુચિઓમાં પણ ફેરફાર છે શોષણ લેખકો પાસેથી 0-ક્લિક શોષણ કરતાં 1-ક્લિક શોષણની તરફેણમાં. 0-ક્લિક એ નબળાઈઓનો ઉલ્લેખ કરે છે જેને વપરાશકર્તાની ક્રિયાની જરૂર નથી, સામાન્ય રીતે બ્રાઉઝર કોડ સિવાયના અન્ય ઘટકોને અસર કરે છે.

તે ઉલ્લેખિત છે કે 0-ક્લિક નબળાઈઓ શોધવી મુશ્કેલ છે કારણ કે:

• તેઓ અલ્પજીવી છે
• તેમની પાસે ઘણીવાર તેમની હાજરીનું કોઈ દૃશ્યમાન સૂચક હોતું નથી.
• તમે ઘણાં વિવિધ ઘટકોને લક્ષ્ય બનાવી શકો છો અને પ્રદાતાઓ હંમેશા દૂરથી એક્સેસ કરી શકાય તેવા તમામ ઘટકોનો ખ્યાલ પણ રાખતા નથી.
• ચાટ હુમલાની જેમ વ્યાપકપણે ઉપલબ્ધ થવાને બદલે સીધા લક્ષ્ય સુધી પહોંચાડવામાં આવે છે
• ઘણીવાર બ્રાઉઝ કરી શકાય તેવી વેબસાઇટ અથવા સર્વર પર હોસ્ટ કરવામાં આવતી નથી

જ્યારે 1-ક્લિક સાથે, ત્યાં એક દૃશ્યમાન લિંક છે જે શોષણ પહોંચાડવા માટે લક્ષ્યને ક્લિક કરવું આવશ્યક છે. આનો અર્થ એ છે કે લક્ષ્ય અથવા સુરક્ષા સાધનો લિંકને શોધી શકે છે. શોષણ પછી તે લિંક પર બ્રાઉઝ કરી શકાય તેવા સર્વર પર હોસ્ટ કરવામાં આવે છે.

આખરે જો તમે છો તેના વિશે વધુ જાણવામાં રસ છે, તમે માં વિગતો ચકાસી શકો છો નીચેની કડી