Google ने Chrome ब्राउज़र में एक गंभीर शून्य-दिवस भेद्यता को ठीक करने के लिए आपातकालीन सुरक्षा अपडेट जारी किया है, जो 2026 की शुरुआत से अब तक पाँचवाँ सक्रिय रूप से शोषित दोष है। यह भेद्यता, जिसे CVE-2026-11645 के रूप में ट्रैक किया जा रहा है, Chrome के V8 JavaScript इंजन में मौजूद है, जो JavaScript और WebAssembly सामग्री को प्रोसेस करने वाला मुख्य घटक है। Google की सोमवार को जारी एक सुरक्षा सलाहकार के अनुसार, इस दोष को लक्षित करने वाले एक्सप्लॉइट कोड को पहले ही वास्तविक दुनिया में देखा जा चुका है। यह घटना ब्राउज़र विक्रेताओं के सामने आने वाली लगातार चुनौती को रेखांकित करती है, क्योंकि खतरा पैदा करने वाले तत्व तेजी से वेब ब्राउज़रों को निशाना बना रहे हैं, जो साइबर अपराधियों, जासूसी समूहों और व्यावसायिक स्पाइवेयर ऑपरेटरों के लिए सबसे आकर्षक हमले की सतहों में से एक हैं।
आपातकालीन अपडेट वैश्विक उपयोगकर्ताओं तक पहुँचा
Google ने एक गुमनाम सुरक्षा शोधकर्ता द्वारा भेद्यता की खोज के तुरंत बाद सभी प्रमुख डेस्कटॉप प्लेटफार्मों—Windows, macOS और Linux—के लिए पैच किए गए Chrome संस्करणों को रोल आउट करना शुरू कर दिया। अपडेटेड बिल्ड में Windows और Linux के लिए Chrome 149.0.7827.102 और macOS के लिए Chrome 149.0.7827.103 शामिल हैं। कंपनी ने नोट किया कि मानक अपडेट चैनलों के माध्यम से पूर्ण रोलआउट में कई दिन या सप्ताह भी लग सकते हैं, लेकिन सुरक्षा शोधकर्ताओं ने पुष्टि की कि अपडेट Chrome के मैनुअल अपडेट तंत्र के माध्यम से तुरंत उपलब्ध हो गया। उपयोगकर्ता ब्राउज़र की सेटिंग मेनू पर जाकर और \"About Google Chrome\" अनुभाग का चयन करके इस प्रक्रिया को ट्रिगर कर सकते हैं, जो स्वचालित रूप से नए रिलीज़ की जाँच करता है।
विभिन्न ऑपरेटिंग सिस्टमों पर रोलआउट
यह पैच एक ऐसी भेद्यता को संबोधित करता है जो V8 इंजन के भीतर एक आउट-ऑफ-बाउंड्स रीड और राइट दोष होने के कारण विशेष रूप से खतरनाक है। ऐसी कमज़ोरियाँ तब उत्पन्न होती हैं जब सॉफ्टवेयर आवंटित बफर से परे मेमोरी स्थानों तक अनुचित रूप से पहुँचता है, जिससे मेमोरी भ्रष्टाचार, सूचना प्रकटीकरण, एप्लिकेशन क्रैश और संभावित रूप से मनमाना कोड निष्पादन होता है। Google ने चेतावनी दी कि हमलावर CVE-2026-11645 का शोषण दुर्भावनापूर्ण या समझौता की गई वेबसाइटों के माध्यम से विशेष रूप से तैयार HTML सामग्री के माध्यम से कर सकते हैं। एक दुर्भावनापूर्ण पृष्ठ पर मात्र जाने से भी दोष ट्रिगर हो सकता है, यहाँ तक कि Chrome के सैंडबॉक्स वातावरण के भीतर भी—एक महत्वपूर्ण सुरक्षा परत जो वेब सामग्री को अंतर्निहित ऑपरेटिंग सिस्टम से अलग करने के लिए डिज़ाइन की गई है।
V8 इंजन भेद्यता मेमोरी शोषण को सक्षम बनाती है
ब्राउज़र इंजनों में मेमोरी भ्रष्टाचार की भेद्यताएँ सॉफ्टवेयर दोषों की सबसे मूल्यवान श्रेणियों में से एक बनी हुई हैं, क्योंकि वे अक्सर एक व्यापक समझौते के पहले चरण के रूप में काम करती हैं। उपलब्ध तकनीकी जानकारी के अनुसार, CVE-2026-11645 का सफल शोषण हमलावरों को निम्नलिखित कार्य करने में सक्षम बना सकता है:
- निर्धारित सीमाओं के बाहर मेमोरी सामग्री पढ़ना।
- हीप मेमोरी संरचनाओं को भ्रष्ट करना।
- ब्राउज़र प्रक्रियाओं के भीतर संग्रहीत संवेदनशील जानकारी को लीक करना।
- ब्राउज़र क्रैश और अस्थिरता को ट्रिगर करना।
- मेमोरी सुरक्षा तंत्रों को दरकिनार करना।
- अतिरिक्त भेद्यताओं के साथ श्रृंखलित होने पर आगे कोड निष्पादन हमलों को सुविधाजनक बनाना।
इस प्रकार के आउट-ऑफ-बाउंड्स मेमोरी एक्सेस दोष अक्सर हमलावरों को एड्रेस स्पेस लेआउट रैंडमाइज़ेशन (ASLR) जैसी सुरक्षाओं को बायपास करने में सक्षम बनाते हैं, जो एक सुरक्षा तंत्र है जिसका उद्देश्य शोषण को काफी कठिन बनाना है। मेमोरी लेआउट जानकारी प्रकट करके या महत्वपूर्ण संरचनाओं को भ्रष्ट करके, अभिनेता बाद के शोषण चरणों की विश्वसनीयता बढ़ा सकते हैं, जिससे यदि अतिरिक्त कमज़ोरियाँ उपलब्ध हों तो पूर्ण सिस्टम समझौता हो सकता है।
Google ने नकली एक्सप्लॉइट को रोकने के लिए विवरण रोके
सक्रिय रूप से शोषित भेद्यताओं को संबोधित करते समय मानक अभ्यास के अनुसार, Google ने हमलों के बारे में विस्तृत तकनीकी जानकारी रोक ली है। कंपनी ने कहा कि बग विवरण, प्रूफ-ऑफ-कॉन्सेप्ट कोड और संबंधित दस्तावेज़ीकरण तक पहुँच तब तक प्रतिबंधित रहेगी जब तक कि अधिकांश Chrome उपयोगकर्ता सुरक्षा अपडेट स्थापित नहीं कर लेते। यह नीति अतिरिक्त खतरा पैदा करने वाले तत्वों को कमज़ोर सिस्टम के पैच होने से पहले नकली एक्सप्लॉइट विकसित करने से रोकने के लिए है। Google ने यह भी संकेत दिया कि यदि समान कोड पर निर्भर तृतीय-पक्ष सॉफ्टवेयर परियोजनाओं ने अभी तक संबंधित फिक्स लागू नहीं किए हैं तो प्रकटीकरण प्रतिबंध लागू रह सकते हैं। कंपनी ने यह खुलासा नहीं किया है कि भेद्यता की खोज किसने की, इसका शोषण कौन कर रहा है, या क्या हमले वित्तीय रूप से प्रेरित साइबर अपराधियों, राष्ट्र-राज्य अभिनेताओं या वाणिज्यिक निगरानी विक्रेताओं से जुड़े हैं।
ब्राउज़र शून्य-दिवस: एक लगातार खतरे का परिदृश्य
नवीनतम घटना साइबर सुरक्षा परिदृश्य में एक व्यापक प्रवृत्ति को उजागर करती है: वेब ब्राउज़र उद्यम और उपभोक्ता दोनों वातावरणों में सबसे अधिक लक्षित सॉफ्टवेयर में से एक बन गए हैं। चूँकि ब्राउज़र ऑनलाइन एप्लिकेशन, क्लाउड सेवाओं, ईमेल प्लेटफार्मों, बैंकिंग सिस्टम और कॉर्पोरेट नेटवर्क के प्रवेश द्वार के रूप में काम करते हैं, एक सफल ब्राउज़र शोषण हमलावरों को कहीं बड़े वातावरण में पैर जमाने का अवसर प्रदान कर सकता है। खतरा खुफिया टीमों ने बार-बार उन्नत सतत खतरे (APT) समूहों को ब्राउज़र भेद्यताओं का लाभ उठाते हुए पत्रकारों, सरकारी अधिकारियों, राजनीतिक असंतुष्टों और कॉर्पोरेट अधिकारियों से समझौता करते देखा है। हाल के वर्षों में, जीरो-क्लिक और वन-क्लिक ब्राउज़र एक्सप्लॉइट वाणिज्यिक स्पाइवेयर संचालन की आधारशिला बन गए हैं, जिनमें विक्रेता प्रतीत होने वाली हानिरहित वेब सामग्री के माध्यम से उपकरणों से समझौता करने में सक्षम परिष्कृत हमला श्रृंखला विकसित कर रहे हैं।
2026 में पाँचवाँ Chrome शून्य-दिवस पैच किया गया
CVE-2026-11645 इस वर्ष Google द्वारा संबोधित पाँचवाँ सक्रिय रूप से शोषित Chrome भेद्यता है। कंपनी ने 2026 की पहली छमाही के दौरान पहले ही महत्वपूर्ण सुरक्षा दोषों की एक श्रृंखला का जवाब दिया है, जिनमें शामिल हैं:
- CVE-2026-2441: फरवरी में पैच किया गया, इस भेद्यता में CSSFontFeatureValuesMap को प्रभावित करने वाले इटरेटर अमान्यकरण मुद्दे शामिल थे, जो Chrome की रेंडरिंग आर्किटेक्चर के भीतर CSS फ़ॉन्ट फीचर मानों को संभालने वाला एक घटक है।
- CVE-2026-3909: मार्च में खुलासा हुआ, इस आउट-ऑफ-बाउंड्स राइट भेद्यता ने Skia ग्राफिक्स लाइब्रेरी को प्रभावित किया, जो Chromium पारिस्थितिकी तंत्र में व्यापक रूप से उपयोग किया जाने वाला एक ओपन-सोर्स ग्राफिक्स इंजन है।
- CVE-2026-3910: मार्च में भी पैच किया गया, इस दोष में V8 JavaScript और WebAssembly इंजन के भीतर एक कार्यान्वयन कमज़ोरी शामिल थी, जिससे हमलावर विशिष्ट परिस्थितियों में ब्राउज़र व्यवहार में हेरफेर कर सकते थे।
- CVE-2026-5281: अप्रैल में संबोधित किया गया, इस यूज़-आफ्टर-फ्री भेद्यता ने Dawn को प्रभावित किया, जो WebGPU मानक का Google का कार्यान्वयन है जो आधुनिक ब्राउज़रों में उन्नत ग्राफिक्स प्रोसेसिंग और हार्डवेयर त्वरण को सक्षम बनाता है।
मेमोरी सुरक्षा भेद्यताएँ—जिनमें यूज़-आफ्टर-फ्री बग, आउट-ऑफ-बाउंड्स रीड और आउट-ऑफ-बाउंड्स राइट शामिल हैं—ब्राउज़र विक्रेताओं द्वारा सुरक्षा को मजबूत करने के चल रहे प्रयासों के बावजूद ब्राउज़र शोषण गतिविधि पर हावी हैं। ऐसे दोषों की बार-बार उपस्थिति ने ब्राउज़र विकास में Rust जैसी मेमोरी-सुरक्षित प्रोग्रामिंग भाषाओं को व्यापक रूप से अपनाने की माँगों को नवीनीकृत किया है। Google, Microsoft और अन्य प्रौद्योगिकी कंपनियों ने अध्ययनों के बाद मेमोरी सुरक्षा पहलों पर जोर बढ़ाया है, जिनसे पता चला कि महत्वपूर्ण सॉफ्टवेयर भेद्यताओं का एक बड़ा हिस्सा मेमोरी प्रबंधन त्रुटियों से उत्पन्न होता है। जबकि Chrome की आर्किटेक्चर में पहले से ही कई शमन शामिल हैं—जिनमें साइट आइसोलेशन, सैंडबॉक्सिंग, एक्सप्लॉइट डिटेक्शन सिस्टम और उन्नत प्रक्रिया पृथक्करण शामिल हैं—सुरक्षा विशेषज्ञों का तर्क है कि मेमोरी-असुरक्षित कोड को कम करना ब्राउज़र शोषण के खिलाफ सबसे प्रभावी दीर्घकालिक बचावों में से एक बना हुआ है।