Google Chrome แก้ไขช่องโหว่ zero day ที่ถูกเจาะเข้ามาบ่อย ๆ
Please wait...
1726202978.png
1731393918.jpg
1732076627.jpg
1730459076.jpg
1730782055.jpg
1730966771.jpg
1731999875.jpg
SOLUTIONS CORNER
Google Chrome แก้ไขช่องโหว่ zero day ที่ถูกเจาะเข้ามาบ่อย ๆ

Google Chrome อัปเดตแพทช์ใหม่แก้ไขช่องโหว่ zero-day ที่ถูกเจาะเข้ามาบ่อย ๆ แล้ว

@Mehaniq via Twenty20

Google ออกแพทช์ระลอกใหม่สำหรับแก้ไขช่องโหว่ร้ายแรงหลายจุด ซึ่งอาจเปิดช่องให้แฮกเกอร์เรียกใช้โค้ดและเข้าควบคุมระบบผ่าน Google Chrome ได้
            
Google เปิดตัวแพตช์ระลอกใหม่สำหรับปัญหาด้านความปลอดภัยที่มีความร้ายแรงสูง 7 จุดที่อาจส่งผลกระทบต่อ Google Chrome ซึ่งรวมถึงช่องโหว่แบบ zero-day หนึ่งจุดที่ตกอยู่ภายใต้การเจาะระบบเข้ามาบ่อยครั้ง
           
แพทช์ล่าสุด (98.0.4758.102) สำหรับ Windows, Mac และ Linux มาพร้อมกับการแก้ไขความปลอดภัยทั้งหมด 11 จุด ซึ่งมีช่องโหว่ร้ายแรงสูงสุดมากมายที่เกี่ยวข้องกับช่องโหว่แบบ use-after-free (UAF)
             
ตัวช่องโหว่ zero-day ที่ติดตามหมายเลขระบุเป็น CVE-2022-0609 มีคะแนน CVSSv3 ถึง 9.8/10 ถือเป็นช่องโหว่ UAF ที่อยู่ในช่องโหว่ของแอนิเมชั่น ซึ่ง Google กล่าวว่าช่องโหว่นี้เป็นจุดที่มีการเจาะระบบเข้ามาถี่มาก
            
Adam Weidemann และ Clément Lecigne นักวิจัยวิเคราะห์ภัยคุกคามกลุ่มของ Google ค้นพบว่าข้อมูลเกี่ยวกับข้อบกพร่องด้านความปลอดภัยดังกล่าวถูกเปิดเผยออกไปเพียงเล็กน้อย แต่ช่องโหว่ UAF มักจะอำนวยความสะดวกในการโจมตี เช่น การเรียกใช้โค้ดโดยพลการ และการทำให้ข้อมูลในซอฟต์แวร์ที่ไม่ได้อัปเดตแพทช์เสียหาย และนำไปสู่การเข้ายึดครองเครื่องของเหยื่อ
            
ช่องโหว่ UAF มักเกี่ยวข้องกับการใช้หน่วยความทรงจำแบบไดนามิกในซอฟต์แวร์อย่างไม่ถูกวิธี โปรแกรมเมอร์มักใช้การจัดสรรหน่วยความจำแบบไดนามิกเพื่อจัดเก็บข้อมูลจำนวนมากภายในซอฟต์แวร์ที่ทำงานอยู่ กลุ่มบล็อกข้อมูลจะถูกจัดสรรใหม่อยู่ซ้ำ ๆ โปรแกรมเมอร์จะใช้เฮดเดอร์เพื่อตรวจสอบว่ายังมีส่วนใดของหน่วยความจำไดนามิกที่ว่างอยู่ และช่องโหว่ UAF จะถูกเจาะได้หากโปรแกรมเมอร์ไม่ได้จัดการเฮดเดอร์เหล่านี้อย่างเหมาะสม ข้อบกพร่องเหล่านี้ทำให้ผู้โจมตีสามารถแทนที่โค้ดของตนแทนข้อมูลที่ล้างแล้วในหน่วยความจำแบบไดนามิก หากพอยเตอร์ไม่ได้ถูกล้างหลังจากข้อมูลถูกย้ายไปบล็อกอื่น
            
ช่องโหว่ร้ายแรงสูงส่วนใหญ่ที่อยู่ในอัปเดตแพทช์ระลอกล่าสุดมักเกี่ยวข้องกับช่องโหว่ UAF ที่อยู่ในองค์ประกอบต่างๆ ของ Google Chrome ซึ่งพบหนึ่งจุดอยู่ในตัวจัดการไฟล์ (CVE-2022-0603) และอีกจุดใน API ของ Webstore (CVE-2022-0605) จุดหนึ่งอยู่ใน ANGLE (CVE-2022-0606) และหนึ่งจุดอยู่ใน GPU (CVE-2022-0607) เช่นเดียวกับช่องโหว่ zero-day
            
ในหมู่ช่องโหว่ที่ร้ายแรงที่สุดอื่นๆ ที่พบในระบบรุ่นล่าสุดคือ ช่องโหว่หมายเลข CVE-2022-0608 ซึ่งเป็นข้อบกพร่อง Integer Overflow (จำนวนล้นเกินหน่วยความจำ) ที่พบใน Mojo ซึ่งเป็นช่องโหว่ที่ถูกรายงานโดย Sergei Glazunov ที่ทำ Google Project Zero โดยการโจมตีที่ใช้ Integer Overflow จะเกิดขึ้นเมื่อกระบวนการทางคณิตศาสตร์ภายในโปรแกรมส่งคืนค่าที่มากกว่าช่วงที่กำหนดโดยตัวแปรเป้าหมาย ช่องโหว่ดังกล่าวอาจนำไปสู่การขโมยข้อมูล การแทรกซึมจารกรรมข้อมูล การเข้าครอบครองระบบโดยสมบูรณ์ หรือเพียงแค่ก่อกวนไม่ให้แอปพลิเคชันทำงานอย่างถูกต้อง
            
Google กล่าวว่าการอัปเดตจะเป็นอัปเดตโดยอัตโนมัติในเร็ว ๆ นี้สำหรับระบบปฏิบัติการทั้งหมด แต่ผู้ใช้ที่เกี่ยวข้องสามารถอัปเดตเป็นเวอร์ชันล่าสุดทันทีโดยไปที่เมนู Google Chrome ที่มุมขวาบนของเบราว์เซอร์ เลือก 'ความช่วยเหลือ' และเลือกเมนู 'เกี่ยวกับ Google Chrome' หรือพิมพ์ 'chrome://settings/help' ในแถบ URL

ที่มา: 
https://bit.ly/3tgiIZh

ควิกเซิร์ฟ
สินค้า
งานระบบ
บริการ
กิจกรรม
ออนไลน์