گوگل کروم میں صفر دن کا خطرناک خطرہ؛ صارفین کو آگاہ ہونا چاہئے.

گوگل نے کروم براؤزر کے لیے دو اہم سیکیورٹی خطرات کو دور کرنے کے لیے ابھی ایک ہنگامی اپ ڈیٹ جاری کیا ہے، جس میں صفر دن کی کمزوری بھی شامل ہے جس کا ہیکرز کے ذریعے فعال طور پر استحصال کیا جا رہا ہے۔

سائبرسیکیوریٹی کے ماہرین نے خبردار کیا ہے کہ دنیا بھر میں اربوں صارفین کو سیشن ٹوکنز، کوکیز اور لاگ ان معلومات سمیت حساس ڈیٹا لیک ہونے کا خطرہ ہو سکتا ہے۔

دو سنگین خطرات: اصل استحصال اور ڈیٹا کا اخراج۔

پہلی کمزوری، جس کی شناخت CVE-2025-5419 کے طور پر ہوئی، V8 انجن – کروم کے JavaScript اور WebAssembly پروسیسر میں ظاہر ہوئی۔

گوگل کی طرف سے ایک سرکاری اعلان کے مطابق، یہ کمزوری حملہ آوروں کو مختص میموری کے علاقے سے باہر پڑھنے اور لکھنے کی کارروائیوں کو انجام دینے کی اجازت دیتی ہے، جس سے ریموٹ کوڈ پر عمل درآمد کا دروازہ کھل جاتا ہے۔

درحقیقت، صرف ایکسپلائٹ کوڈ والی ویب سائٹ تک رسائی حاصل کر کے، ہیکرز اپنے براؤزر یا ڈیوائس پر کنٹرول حاصل کر سکتے ہیں۔ گوگل نے اس بات کی تصدیق کی کہ اس کمزوری کو عوامی طور پر ظاہر کرنے سے پہلے اس کا فائدہ اٹھایا گیا تھا، جو اس سال کی پہلی ششماہی میں سائبر سیکیورٹی کے خطرات میں سے ایک ہے۔

دوسری کمزوری، CVE-2025-4664 ، اس بات سے متعلق ہے کہ معاون وسائل لوڈ کرتے وقت براؤزر HTTP ہیڈر اور حوالہ دینے والی پالیسی کو کیسے ہینڈل کرتے ہیں۔ محققین کے مطابق، ہیکرز اس کمزوری کا فائدہ اٹھاتے ہوئے URLs کے ذریعے حساس معلومات جمع کر سکتے ہیں، بشمول OAuth رسائی ٹوکن، سیشن آئی ڈی، اور نجی ڈیٹا پر مشتمل پیرامیٹرز۔

زیادہ خطرناک بات یہ ہے کہ حملے کا یہ طریقہ کار خاموشی سے ہو سکتا ہے، جس میں صارف سے میلویئر سے متاثرہ ویب سائٹ تک رسائی کے علاوہ کسی کارروائی کی ضرورت نہیں ہے۔

عالمی الرٹ اور گوگل کا جواب

کمزوریوں کے دریافت ہونے کے فوراً بعد، گوگل نے متعلقہ سیکیورٹی اپ ڈیٹس جاری کیں: ورژن 137.0.7151.68/.69 Windows، Linux، اور macOS کے لیے CVE-2025-5419 کو پیچ کرنے کے لیے، اور ورژن 136.0.7103.113/.114 سے C0425-26 کو درست کرنے کے لیے۔

سائبرسیکیوریٹی ایجنسیوں جیسے کہ US کی CISA اور ہندوستان کی CERT-In نے فوری وارننگ جاری کی ہیں، صارفین اور تنظیموں پر زور دیا ہے کہ وہ اپنے Chrome براؤزر کو فوری طور پر اپ ڈیٹ کریں تاکہ جاری حملوں کا شکار ہونے سے بچ سکیں۔

انفرادی صارفین اور کاروبار کے لیے خطرات

سیکورٹی ماہرین کا خیال ہے کہ دونوں کمزوریوں کو ذاتی معلومات چوری کرنے، براؤزرز پر کنٹرول حاصل کرنے، اور یہاں تک کہ بڑے پیمانے پر حملوں جیسے کہ میلویئر کی تنصیب، جاسوسی، یا رینسم ویئر کی خفیہ کاری کے لیے بھی استعمال کیا جا سکتا ہے۔

معلومات کے جاری ہونے کے چند دنوں سے لے کر چند گھنٹوں تک، کمزوریوں کا فائدہ اٹھانے میں لگنے والے وقت کے ساتھ، بروقت سافٹ ویئر اپ ڈیٹس بہت اہم ہیں۔

مزید برآں، دریافت کے فوراً بعد کمزوری کا فائدہ اٹھانے کے ساتھ، حملہ آور گھنٹوں کے اندر مالویئر جاری کر سکتے ہیں، جس سے ان سسٹمز پر بہت زیادہ دباؤ پڑتا ہے جن کے پاس اپ ڈیٹ کرنے کا وقت نہیں ہوتا ہے۔

ڈیٹا کو روکنے اور محفوظ کرنے کے طریقے

انفرادی صارفین کے لیے مشورہ یہ ہے کہ ورژن کو چیک کرنے اور براؤزر کو فوری طور پر اپ ڈیٹ کرنے کے لیے ہیلپ مینو میں "گوگل کروم کے بارے میں" سیکشن تک رسائی حاصل کریں (مینو > مدد > گوگل کروم کے بارے میں) پر جائیں۔ اپ ڈیٹ کرنے کے بعد، پیچ کا اطلاق یقینی بنانے کے لیے آپ کو براؤزر کو دوبارہ شروع کرنے کی ضرورت ہے۔

ایک ہی وقت میں، صارفین کو مشکوک لنکس پر کلک کرنے سے گریز کرنا چاہیے، خاص طور پر ای میلز، سوشل میڈیا، یا ناقابل بھروسہ ویب سائٹس سے۔

خطرات کو کم کرنے کے لیے سیکیورٹی سافٹ ویئر، یو آر ایل فلٹرز، یا دیگر محفوظ براؤزنگ ٹولز استعمال کرنے کی بھی سفارش کی جاتی ہے۔

ان کاروباروں اور تنظیموں کے لیے جنہیں اپنے نیٹ ورک پر تمام آلات پر خودکار کروم اپ ڈیٹس تعینات کرنے کی ضرورت ہوتی ہے، بے ضابطگیوں کا پتہ لگانے کے لیے نیٹ ورک تک رسائی کی سرگرمی کی نگرانی کریں، اور ممکنہ ڈیٹا لیک کے بارے میں ملازمین کو اندرونی طور پر متنبہ کریں۔

خودکار سیکیورٹی مانیٹرنگ ٹولز جیسے وضو یا سینڈ باکس سلوشنز کو کمزوریوں سے فائدہ اٹھانے کے لیے استعمال ہونے والے استحصال کا پتہ لگانے کے لیے بھی استعمال کیا جا سکتا ہے۔