একজন বেনামী পাঠক একটি আর্স টেকনিকা রিপোর্ট উদ্ধৃত করেছেন: গুগল বুধবার তার ক্রোমিয়াম ব্রাউজারের কোডবেসে একটি অস্বাভাবিক দুর্বলতার জন্য এক্সপ্লয়েট কোড প্রকাশ করেছে যা ক্রোম, মাইক্রোসফ্ট এজ এবং কার্যত অন্যান্য সমস্ত ক্রোমিয়াম-ভিত্তিক ব্রাউজার ব্যবহার করে এমন লক্ষ লক্ষ লোককে হুমকি দেয়। প্রুফ-অফ-কনসেপ্ট কোড ব্রাউজার ফেচ প্রোগ্রামিং ইন্টারফেসকে কাজে লাগায়, একটি স্ট্যান্ডার্ড যা ব্যাকগ্রাউন্ডে দীর্ঘ ভিডিও এবং অন্যান্য বড় ফাইল ডাউনলোড করার অনুমতি দেয়। একজন আক্রমণকারী ব্যবহারকারীর ব্রাউজার ব্যবহারের কিছু দিক নিরীক্ষণ করার জন্য একটি সংযোগ তৈরি করতে এবং সাইটগুলি দেখতে এবং পরিষেবা অস্বীকার করার আক্রমণ চালু করতে প্রক্সি হিসাবে ব্যবহার করতে পারে৷ ব্রাউজারের উপর নির্ভর করে, ব্রাউজার বা ডিভাইসটি পুনরায় চালু হওয়ার পরেও সংযোগগুলি পুনরায় খোলে বা খোলা থাকে। ব্যবহারকারীর ভিজিট করা যেকোন ওয়েবসাইট দ্বারা আনপ্যাচড দুর্বলতা কাজে লাগানো যেতে পারে। প্রকৃতপক্ষে, একটি আপস একটি সীমিত ব্যাকডোরের পরিমাণ যা একটি ডিভাইসকে সীমিত বটনেটের অংশ করে তোলে। ক্ষমতাগুলি একই জিনিসগুলির মধ্যে সীমাবদ্ধ যা একটি ব্রাউজার করতে পারে, যেমন দূষিত সাইটগুলি পরিদর্শন করা, অন্যদের দ্বারা বেনামী প্রক্সি ব্রাউজিং প্রদান করা, প্রক্সি DDoS আক্রমণগুলি সক্ষম করা এবং ব্যবহারকারীর কার্যকলাপ পর্যবেক্ষণ করা৷ যাইহোক, শোষণ একজন আক্রমণকারীকে নেটওয়ার্কে হাজার হাজার, সম্ভবত লক্ষ লক্ষ ডিভাইসগুলিকে স্ক্র্যাম্বল করার অনুমতি দিতে পারে। একবার একটি পৃথক দুর্বলতা উপলব্ধ হলে, একজন আক্রমণকারী সেই সমস্ত ডিভাইসের সাথে আপস করতে এটি ব্যবহার করতে পারে। “এখানে বিপজ্জনক অংশটি হল যে আপনি একসাথে অনেকগুলি বিভিন্ন ব্রাউজার রাখতে পারেন যাতে ভবিষ্যতে আপনি যা আবিষ্কার করেন তার উপর কিছু চালাতে পারেন,” Lyra Rebane, স্বাধীন গবেষক যিনি দুর্বলতা আবিষ্কার করেছিলেন এবং 2022 সালের শেষের দিকে Google এর কাছে ব্যক্তিগতভাবে রিপোর্ট করেছিলেন, একটি সাক্ষাত্কারে বলেছিলেন। তিনি বলেছিলেন যে এক্সপ্লয়েট কোডটি ব্যবহার করে যা Google অকালে প্রকাশ করেছে “বেশ সহজ”, যদিও এটিকে একটি একক নেটওয়ার্কে প্রচুর সংখ্যক ডিভাইসের গ্রুপে স্কেল করার জন্য আরও কাজের প্রয়োজন হবে। গুগলের কাছে রেবানের প্রকাশের থ্রেডে, দুই বিকাশকারী পৃথক প্রতিক্রিয়ায় বলেছিলেন যে এটি একটি “গুরুতর দুর্বলতা”। এর তীব্রতা S1 হিসাবে শ্রেণীবদ্ধ করা হয়েছিল, দ্বিতীয় সর্বোচ্চ শ্রেণীবিভাগ। যেহেতু এটি 29 মাস আগে রিপোর্ট করা হয়েছিল, তাই Chromium বিকাশকারীদের ছাড়া দুর্বলতা অজানা ছিল৷ তারপরে, বুধবার সকালে, এটি ক্রোমিয়াম বাগ ট্র্যাকারে প্রকাশিত হয়েছিল। রেবেন প্রাথমিকভাবে ধরে নিয়েছিল যে দুর্বলতা শেষ পর্যন্ত ঠিক করা হয়েছে। শীঘ্রই, তিনি শিখেছিলেন যে এটি আসলে, এখনও আনপ্যাচ ছিল। যদিও Google পোস্টটি সরিয়ে দিয়েছে, এটি শোষণ কোড সহ সংরক্ষণাগার সাইটগুলিতে উপলব্ধ রয়েছে। Google প্রতিনিধিরা অবিলম্বে একটি ইমেলের প্রতিক্রিয়া জানায়নি যে এটি কীভাবে এবং কেন দুর্বলতা প্রকাশ করেছে এবং যদি বা কখন একটি সমাধান পাওয়া যায়। ক্রমাগত সক্রিয় পরিষেবা কর্মী খোলার জন্য ক্রোমিয়ামের ব্রাউজার ফেচ API-এর অপব্যবহার করে শোষণ কাজ করে৷ একটি দূষিত ওয়েবসাইট জাভাস্ক্রিপ্টের মাধ্যমে এটি সক্রিয় করতে পারে, এমন একটি সংযোগ তৈরি করতে পারে যা “ব্যবহারকারীর ব্রাউজার ব্যবহারের কিছু দিক নিরীক্ষণ করতে এবং সাইটগুলি দেখতে এবং পরিষেবা অস্বীকার করার আক্রমণ চালু করার প্রক্সি হিসাবে” ব্যবহার করা যেতে পারে৷ ব্রাউজারের উপর নির্ভর করে, সেই সংযোগগুলি “পুনরায় খুলবে বা খোলা থাকবে এমনকি এটি বা এটি চালানো ডিভাইসটি পুনরায় চালু হওয়ার পরেও”, ডিভাইসটিকে একটি “সীমিত বটনেট” এ পরিণত করে৷ Post navigation অ্যাক্সেস অস্বীকার করা হয়েছে৷ নতুন ওয়েবসাইট প্ল্যাটনারকে সতর্ক করে যেমন কেলেঙ্কারীগুলি বৃদ্ধি পায়: ‘একের পর এক লাল পতাকা’