1726202978.png
1731393918.jpg
1732076627.jpg
1730459076.jpg
1730782055.jpg
1730966771.jpg
1731999875.jpg
Google Chrome แก้ไขช่องโหว่ zero day ที่ถูกเจาะเข้ามาบ่อย ๆ
Google Chrome อัปเดตแพทช์ใ หม่ แก้ไขช่องโหว่ zero-day ที่ถูกเจาะเข้ามาบ่อย ๆ แล้ว
Google ออกแพทช์ระลอกใหม่สำหรับแก้ไขช่องโหว่ร้ายแรงหลายจุด ซึ่งอาจเปิดช่องให้แฮกเกอร์เรียกใช้โค้ดและเข้าควบคุมระบบผ่าน Google Chrome ได้
Google เปิดตัวแพตช์ระลอกใหม่สำหรับปัญหาด้านความปลอดภัยที่มีความร้ายแรงสูง 7 จุดที่อาจส่งผลกระทบต่อ Google Chrome ซึ่งรวมถึงช่องโหว่แบบ zero-day หนึ่งจุดที่ตกอยู่ภายใต้การเจาะระบบเข้ามาบ่อยครั้ง
แพทช์ล่าสุด (98.0.4758.102) สำหรับ Windows, Mac และ Linux มาพร้อมกับการแก้ไขความปลอดภัยทั้งหมด 11 จุด ซึ่งมีช่องโหว่ร้ายแรงสูงสุดมากมายที่เกี่ยวข้องกับช่องโหว่แบบ use-after-free (UAF)
ตัวช่องโหว่ zero-day ที่ติดตามหมายเลขระบุเป็น CVE-2022-0609 มีคะแนน CVSSv3 ถึง 9.8/10 ถือเป็นช่องโหว่ UAF ที่อยู่ในช่องโหว่ของแอนิเมชั่น ซึ่ง Google กล่าวว่าช่องโหว่นี้เป็นจุดที่มีการเจาะระบบเข้ามาถี่มาก
Adam Weidemann และ Clément Lecigne นักวิจัยวิเคราะห์ภัยคุกคามกลุ่มของ Google ค้นพบว่าข้อมูลเกี่ยวกับข้อบกพร่องด้านความปลอดภัยดังกล่าวถูกเปิดเผยออกไปเพียงเล็กน้อย แต่ช่องโหว่ UAF มักจะอำนวยความสะดวกในการโจมตี เช่น การเรียกใช้โค้ดโดยพลการ และการทำให้ข้อมูลในซอฟต์แวร์ที่ไม่ได้อัปเดตแพทช์เสียหาย และนำไปสู่การเข้ายึดครองเครื่องของเหยื่อ
ช่องโหว่ UAF มักเกี่ยวข้องกับการใช้หน่วยความทรงจำแบบไดนามิกในซอฟต์แวร์อย่างไม่ถูกวิธี โปรแกรมเมอร์มักใช้การจัดสรรหน่วยความจำแบบไดนามิกเพื่อจัดเก็บข้อมูลจำนวนมากภายในซอฟต์แวร์ที่ทำงานอยู่ กลุ่มบล็อกข้อมูลจะถูกจัดสรรใหม่อยู่ซ้ำ ๆ โปรแกรมเมอร์จะใช้เฮดเดอร์เพื่อตรวจสอบว่ายังมีส่วนใดของหน่วยความจำไดนามิกที่ว่างอยู่ และช่องโหว่ UAF จะถูกเจาะได้หากโปรแกรมเมอร์ไม่ได้จัดการเฮดเดอร์เหล่านี้อย่างเหมาะสม ข้อบกพร่องเหล่านี้ทำให้ผู้โจมตีสามารถแทนที่โค้ดของตนแทนข้อมูลที่ล้างแล้วในหน่วยความจำแบบไดนามิก หากพอยเตอร์ไม่ได้ถูกล้างหลังจากข้อมูลถูกย้ายไปบล็อกอื่น
ช่องโหว่ร้ายแรงสูงส่วนใหญ่ที่อยู่ในอัปเดตแพทช์ระลอกล่าสุดมักเกี่ยวข้องกับช่องโหว่ UAF ที่อยู่ในองค์ประกอบต่างๆ ของ Google Chrome ซึ่งพบหนึ่งจุดอยู่ในตัวจัดการไฟล์ (CVE-2022-0603) และอีกจุดใน API ของ Webstore (CVE-2022-0605) จุดหนึ่งอยู่ใน ANGLE (CVE-2022-0606) และหนึ่งจุดอยู่ใน GPU (CVE-2022-0607) เช่นเดียวกับช่องโหว่ zero-day
ในหมู่ช่องโหว่ที่ร้ายแรงที่สุดอื่นๆ ที่พบในระบบรุ่นล่าสุดคือ ช่องโหว่หมายเลข CVE-2022-0608 ซึ่งเป็นข้อบกพร่อง Integer Overflow (จำนวนล้นเกินหน่วยความจำ) ที่พบใน Mojo ซึ่งเป็นช่องโหว่ที่ถูกรายงานโดย Sergei Glazunov ที่ทำ Google Project Zero โดยการโจมตีที่ใช้ Integer Overflow จะเกิดขึ้นเมื่อกระบวนการทางคณิตศาสตร์ภายในโปรแกรมส่งคืนค่าที่มากกว่าช่วงที่กำหนดโดยตัวแปรเป้าหมาย ช่องโหว่ดังกล่าวอาจนำไปสู่การขโมยข้อมูล การแทรกซึมจารกรรมข้อมูล การเข้าครอบครองระบบโดยสมบูรณ์ หรือเพียงแค่ก่อกวนไม่ให้แอปพลิเคชันทำงานอย่างถูกต้อง
Google กล่าวว่าการอัปเดตจะเป็นอัปเดตโดยอัตโนมัติในเร็ว ๆ นี้สำหรับระบบปฏิบัติการทั้งหมด แต่ผู้ใช้ที่เกี่ยวข้องสามารถอัปเดตเป็นเวอร์ชันล่าสุดทันทีโดยไปที่เมนู Google Chrome ที่มุมขวาบนของเบราว์เซอร์ เลือก 'ความช่วยเหลือ' และเลือกเมนู 'เกี่ยวกับ Google Chrome' หรือพิมพ์ 'chrome://settings/help' ในแถบ URL
ที่มา: https://bit.ly/3tgiIZh
สงวนลิขสิทธิ์ Copyright © 2024 บริษัท ควิกเซิร์ฟ โปรไวเดอร์ จำกัด
124/124 หมู่ที่ 2 ถนนนครอินทร์ ตำบลบางสีทอง อำเภอบางกรวย จังหวัดนนทบุรี 11130
โทรศัพท์ 0-2496-1234 โทรสาร 0-2496-1001