Google Chrome อัปเดตแพทช์ใหม่แก้ไขช่องโหว่ zero-day ที่ถูกเจาะเข้ามาบ่อย ๆ แล้ว

@Mehaniq via Twenty20

Google ออกแพทช์ระลอกใหม่สำหรับแก้ไขช่องโหว่ร้ายแรงหลายจุด ซึ่งอาจเปิดช่องให้แฮกเกอร์เรียกใช้โค้ดและเข้าควบคุมระบบผ่าน Google Chrome ได้

Google เปิดตัวแพตช์ระลอกใหม่สำหรับปัญหาด้านความปลอดภัยที่มีความร้ายแรงสูง 7 จุดที่อาจส่งผลกระทบต่อ Google Chrome ซึ่งรวมถึงช่องโหว่แบบ zero-day หนึ่งจุดที่ตกอยู่ภายใต้การเจาะระบบเข้ามาบ่อยครั้ง

แพทช์ล่าสุด (98.0.4758.102) สำหรับ Windows, Mac และ Linux มาพร้อมกับการแก้ไขความปลอดภัยทั้งหมด 11 จุด ซึ่งมีช่องโหว่ร้ายแรงสูงสุดมากมายที่เกี่ยวข้องกับช่องโหว่แบบ use-after-free (UAF)

ตัวช่องโหว่ zero-day ที่ติดตามหมายเลขระบุเป็น CVE-2022-0609 มีคะแนน CVSSv3 ถึง 9.8/10 ถือเป็นช่องโหว่ UAF ที่อยู่ในช่องโหว่ของแอนิเมชั่น ซึ่ง Google กล่าวว่าช่องโหว่นี้เป็นจุดที่มีการเจาะระบบเข้ามาถี่มาก

Adam Weidemann และ Clément Lecigne นักวิจัยวิเคราะห์ภัยคุกคามกลุ่มของ Google ค้นพบว่าข้อมูลเกี่ยวกับข้อบกพร่องด้านความปลอดภัยดังกล่าวถูกเปิดเผยออกไปเพียงเล็กน้อย แต่ช่องโหว่ UAF มักจะอำนวยความสะดวกในการโจมตี เช่น การเรียกใช้โค้ดโดยพลการ และการทำให้ข้อมูลในซอฟต์แวร์ที่ไม่ได้อัปเดตแพทช์เสียหาย และนำไปสู่การเข้ายึดครองเครื่องของเหยื่อ

ช่องโหว่ UAF มักเกี่ยวข้องกับการใช้หน่วยความทรงจำแบบไดนามิกในซอฟต์แวร์อย่างไม่ถูกวิธี โปรแกรมเมอร์มักใช้การจัดสรรหน่วยความจำแบบไดนามิกเพื่อจัดเก็บข้อมูลจำนวนมากภายในซอฟต์แวร์ที่ทำงานอยู่ กลุ่มบล็อกข้อมูลจะถูกจัดสรรใหม่อยู่ซ้ำ ๆ โปรแกรมเมอร์จะใช้เฮดเดอร์เพื่อตรวจสอบว่ายังมีส่วนใดของหน่วยความจำไดนามิกที่ว่างอยู่ และช่องโหว่ UAF จะถูกเจาะได้หากโปรแกรมเมอร์ไม่ได้จัดการเฮดเดอร์เหล่านี้อย่างเหมาะสม ข้อบกพร่องเหล่านี้ทำให้ผู้โจมตีสามารถแทนที่โค้ดของตนแทนข้อมูลที่ล้างแล้วในหน่วยความจำแบบไดนามิก หากพอยเตอร์ไม่ได้ถูกล้างหลังจากข้อมูลถูกย้ายไปบล็อกอื่น

ช่องโหว่ร้ายแรงสูงส่วนใหญ่ที่อยู่ในอัปเดตแพทช์ระลอกล่าสุดมักเกี่ยวข้องกับช่องโหว่ UAF ที่อยู่ในองค์ประกอบต่างๆ ของ Google Chrome ซึ่งพบหนึ่งจุดอยู่ในตัวจัดการไฟล์ (CVE-2022-0603) และอีกจุดใน API ของ Webstore (CVE-2022-0605) จุดหนึ่งอยู่ใน ANGLE (CVE-2022-0606) และหนึ่งจุดอยู่ใน GPU (CVE-2022-0607) เช่นเดียวกับช่องโหว่ zero-day

ในหมู่ช่องโหว่ที่ร้ายแรงที่สุดอื่นๆ ที่พบในระบบรุ่นล่าสุดคือ ช่องโหว่หมายเลข CVE-2022-0608 ซึ่งเป็นข้อบกพร่อง Integer Overflow (จำนวนล้นเกินหน่วยความจำ) ที่พบใน Mojo ซึ่งเป็นช่องโหว่ที่ถูกรายงานโดย Sergei Glazunov ที่ทำ Google Project Zero โดยการโจมตีที่ใช้ Integer Overflow จะเกิดขึ้นเมื่อกระบวนการทางคณิตศาสตร์ภายในโปรแกรมส่งคืนค่าที่มากกว่าช่วงที่กำหนดโดยตัวแปรเป้าหมาย ช่องโหว่ดังกล่าวอาจนำไปสู่การขโมยข้อมูล การแทรกซึมจารกรรมข้อมูล การเข้าครอบครองระบบโดยสมบูรณ์ หรือเพียงแค่ก่อกวนไม่ให้แอปพลิเคชันทำงานอย่างถูกต้อง

Google กล่าวว่าการอัปเดตจะเป็นอัปเดตโดยอัตโนมัติในเร็ว ๆ นี้สำหรับระบบปฏิบัติการทั้งหมด แต่ผู้ใช้ที่เกี่ยวข้องสามารถอัปเดตเป็นเวอร์ชันล่าสุดทันทีโดยไปที่เมนู Google Chrome ที่มุมขวาบนของเบราว์เซอร์ เลือก 'ความช่วยเหลือ' และเลือกเมนู 'เกี่ยวกับ Google Chrome' หรือพิมพ์ 'chrome://settings/help' ในแถบ URL

ที่มา: https://bit.ly/3tgiIZh