Google Chrome Zero Day Attack की खबर ने पूरी दुनिया के साइबर सिक्योरिटी जगत में हलचल मचा दी है। Google ने 15 मार्च 2026 को अपने Chrome ब्राउज़र के लिए एक इमरजेंसी रेड अलर्ट सिक्योरिटी अपडेट जारी किया है। यह अपडेट दुनियाभर के लगभग 3.5 अरब Chrome यूजर्स के लिए है। दो गंभीर ज़ीरो डे वल्नेरेबिलिटी — CVE-2026-3909 और CVE-2026-3910 — का पता चला है, जिनका हैकर्स पहले से ही सक्रिय रूप से फायदा उठा रहे थे। अमेरिकी साइबर सुरक्षा एजेंसी CISA ने भी इन्हें अपनी ‘ज्ञात शोषित कमजोरियों’ की सूची में जोड़ दिया है।
ज़ीरो डे अटैक क्या होता है? बिना क्लिक किए कैसे हैक होता है डिवाइस?
Google Chrome Zero Day Attack को समझने के लिए पहले ज़ीरो डे अटैक को समझना जरूरी है। कल्पना कीजिए आपने कोई संदिग्ध फाइल डाउनलोड नहीं की, किसी अनजान लिंक पर क्लिक भी नहीं किया, बस एक सामान्य वेबसाइट खोली और उसी क्षण आपका बैंक खाता, निजी डॉक्यूमेंट्स और पासवर्ड्स किसी हैकर के कंट्रोल में चले गए। इसे ज़ीरो क्लिक एक्सप्लॉइट कहते हैं।
जब यह एक्सप्लॉइट उस कमजोरी (वल्नेरेबिलिटी) का फायदा उठाता है जिसके बारे में खुद सॉफ्टवेयर बनाने वाली कंपनी को भी अभी तक पता नहीं है, तो इसे ज़ीरो डे अटैक कहा जाता है। ‘ज़ीरो डे’ का मतलब है कि कंपनी के पास इस खामी को ठीक करने के लिए शून्य दिन का समय रहा, यानी हैकर्स ने कंपनी से पहले ही इस कमजोरी को खोज लिया और उसका फायदा उठाना शुरू कर दिया।
CVE-2026-3909 और CVE-2026-3910: दो खतरनाक कमजोरियां
हर साइबर कमजोरी को एक यूनिक पहचान दी जाती है जिसे CVE (Common Vulnerabilities and Exposures) कहते हैं। इसे MITRE Corporation मेंटेन करता है। Google ने जो दो CVE नंबर जारी किए हैं, उनमें CVE-2026-3909 Chrome की 2D ग्राफिक्स लाइब्रेरी Skia में पाई गई ‘आउट ऑफ बाउंड्स राइट’ वल्नेरेबिलिटी है। इससे हैकर किसी विशेष रूप से तैयार किए गए वेब पेज के जरिए मेमोरी करप्शन करके मनचाहा कोड चला सकता था।
CVE-2026-3910 Chrome के V8 JavaScript और WebAssembly इंजन में मिली ‘अनुचित इंप्लीमेंटेशन’ कमजोरी है। इसके जरिए हैकर ब्राउज़र के सैंडबॉक्स के भीतर मनचाहा कोड एक्सीक्यूट करने में सक्षम था। दोनों कमजोरियां ‘हाई सिवेरिटी’ श्रेणी में मानी गई हैं और दोनों का सक्रिय शोषण हो रहा था।
हैकर कैसे करता है हमला? समझें पूरी एक्सप्लॉइट चेन
Google Chrome Zero Day Attack में एक पूरी एक्सप्लॉइट चेन काम करती है। सबसे पहले हैकर एक मैलीशियस (हानिकारक) वेब पेज तैयार करता है। जब कोई यूजर उस पेज को खोलता है तो JavaScript के जरिए मेमोरी करप्शन शुरू हो जाती है। इसके बाद ब्राउज़र का सैंडबॉक्स (सुरक्षा दीवार) तोड़ा जाता है। फिर प्रिविलेज एस्केलेशन करके हैकर सिस्टम पर ऊंचे स्तर की पहुंच हासिल कर लेता है।
अंतिम चरण में रिमोट कोड एक्सीक्यूशन (RCE) होता है, यानी हैकर आपके डिवाइस में मौजूद हुए बिना भी आपके सिस्टम पर कोई भी कोड चला सकता है। इसके बाद हैकर को मिलता है आपके डिवाइस का पूरा एक्सेस, सर्विलांस की क्षमता और डेटा चोरी करने की ताकत। और सबसे डरावनी बात यह कि यूजर को पता भी नहीं चलता कि उसका डिवाइस हैक हो चुका है।
यह भी पढे़ं 👇
Chrome के 65% मार्केट शेयर ने बनाया इसे ग्लोबल क्राइसिस
यह वल्नेरेबिलिटी इतनी बड़ी खबर इसलिए बनी क्योंकि Chrome के पास दुनिया के ग्लोबल ब्राउज़र मार्केट का 65% से ज्यादा हिस्सा है। Chrome सिर्फ एक ब्राउज़र नहीं है, यह दुनिया का सबसे बड़ा डिजिटल गेटवे है। ईमेल, क्लाउड डॉक्यूमेंट्स, ऑनलाइन बैंकिंग, गवर्नमेंट सर्विसेज, सोशल मीडिया, सब कुछ इसी गेटवे से होकर गुजरता है।
अगर यह गेटवे कॉम्प्रोमाइज हो जाए तो पूरा डिजिटल इकोसिस्टम खतरे में आ जाता है। डार्क वेब मार्केट में एक पावरफुल ज़ीरो डे एक्सप्लॉइट की कीमत 10 से 20 मिलियन डॉलर (करीब 85 करोड़ से 170 करोड़ रुपये) तक हो सकती है और इसके खरीददार सिर्फ साइबर अपराधी नहीं बल्कि कई बार देशों की इंटेलिजेंस एजेंसियां भी होती हैं।
भारत के लिए क्यों है यह नेशनल सिक्योरिटी का मुद्दा?
भारत आज दुनिया की सबसे बड़ी डिजिटल सोसायटी में से एक है। लगभग 85 करोड़ इंटरनेट यूजर्स, तेजी से बढ़ती डिजिटल इकॉनमी और दुनिया का सबसे बड़ा रियल-टाइम पेमेंट सिस्टम UPI हमारे पास है। ऐसे में Google Chrome Zero Day Attack जैसी साइबर कमजोरियां केवल टेक्निकल मसला नहीं रहतीं, ये नेशनल सिक्योरिटी का सवाल बन जाती हैं।
यहां एक महत्वपूर्ण अवधारणा भी सामने आती है जिसे डिजिटल कॉलोनाइजेशन कहते हैं। जब कोई देश सॉफ्टवेयर, हार्डवेयर और क्लाउड इंफ्रास्ट्रक्चर के लिए पूरी तरह विदेशी टेक कंपनियों पर निर्भर हो जाता है, तो उसकी डिजिटल संप्रभुता कमजोर पड़ जाती है। भारत को इंडीजीनस साइबर सिक्योरिटी रिसर्च, सिक्योर ब्राउज़र इकोसिस्टम और नेशनल साइबर डिफेंस इंफ्रास्ट्रक्चर पर गंभीरता से काम करना होगा।
तुरंत करें ये काम: Chrome अपडेट कैसे करें?
Google ने इस वल्नेरेबिलिटी के लिए सिक्योरिटी पैच जारी कर दिया है। यूजर्स को अपना Chrome ब्राउज़र तुरंत वर्शन 146.0.7680.75/76 (Windows और macOS के लिए) या 146.0.7680.75 (Linux के लिए) पर अपडेट करना चाहिए। अपडेट करने के लिए Chrome खोलें, ऊपर दाहिने कोने में तीन डॉट्स पर क्लिक करें, फिर Help > About Google Chrome पर जाएं। अपडेट अपने आप डाउनलोड होगा, उसके बाद ब्राउज़र रिलॉन्च करें।
CISA ने अमेरिकी सरकारी एजेंसियों को 27 मार्च 2026 तक यह अपडेट लागू करने का आदेश दिया है। ये 2026 में Chrome पर हुए दूसरे और तीसरे सक्रिय ज़ीरो डे अटैक हैं, इससे पहले फरवरी में CVE-2026-2441 को भी पैच किया गया था।
मुख्य बातें (Key Points)
- Google Chrome Zero Day Attack में दो हाई सिवेरिटी वल्नेरेबिलिटी CVE-2026-3909 और CVE-2026-3910 का पता चला।
- दुनियाभर के 3.5 अरब Chrome यूजर्स पर खतरा, बिना क्लिक किए डिवाइस हैक होने का रिस्क था।
- CISA ने 27 मार्च तक अपडेट अनिवार्य किया, ये 2026 का दूसरा और तीसरा ज़ीरो डे अटैक है।
- भारत के 85 करोड़ इंटरनेट यूजर्स और UPI सिस्टम के लिए यह नेशनल सिक्योरिटी का मुद्दा है।
