Google ได้ออกแพตซ์อัปเดตสำหรับเบราว์เซอร์ Chrome ที่มีการแก้ไขช่องโหว่ด้านความปลอดภัยกว่า 30 รายการ โดยเวอร์ชันล่าสุดที่แนะนำคือ Chrome 101.0.4951.41 สำหรับ Windows, Mac และ Linux โดยเวอร์ชันนี้ได้มีการแก้ไขช่องโหว่ที่ทำให้ผู้โจมตีสามารถใช้เพื่อควบคุมระบบที่มีช่องโหว่ได้
ขณะที่ Microsoft ก็แนะนำให้ผู้ใช้งาน Edge ซึ่งเป็น Chrome เวอร์ชันที่ได้รับการรับรองจาก Microsoft ให้อัปเดตด้วยเช่นกัน เนื่องจากมีช่องโหว่หลายจุดร่วมกัน
มีช่องโหว่ 7 รายการ ที่ได้รับการจัดอันดับว่าเป็นระดับความรุนแรงสูง โดยมีช่องโหว่ 5 รายการ เป็นช่องโหว่ที่เกิดขึ้นจาก “Use after free” ซึ่งเป็นปัญหาการย้ายหน่วยความจำที่ทำให้แฮ็กเกอร์สามารถสั่งรันโค้ดที่เป็นอันตรายได้ เมื่อผู้ใช้งานเข้าไปยังหน้าเว็บที่เป็นอันตรายที่ถูกสร้างขึ้น
Use after free
ช่องโหว่ "Use after free" ที่ได้มีการระบุไว้ในฐานข้อมูลช่องโหว่ (CVE) ที่มีระดับความรุนแรงสูง ได้แก่:
- CVE-2022-1477 ช่องโหว่ use-after-free ใน Vulkan graphics API
- CVE-2022-1479 ช่องโหว่ use-after-free ใน ANGLE ซึ่งเป็น "graphics engine abstraction layer"
- CVE-2022-1480 ช่องโหว่ use-after-free ใน Device API โดยผู้โจมตีจะหลอกให้เหยื่อเข้าใช้งานหน้าเว็บที่สร้างขึ้นเป็นพิเศษ ซึ่งจะทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนระบบเป้าหมายได้
- CVE-2022-1481 ช่องโหว่ use-after-free เกี่ยวกับการ Sharing โดยผู้โจมตีจะหลอกให้เหยื่อเข้าใช้งานหน้าเว็บที่สร้างขึ้นเป็นพิเศษ ซึ่งจะทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนระบบเป้าหมายได้
ช่องโหว่อื่นๆ ที่มีความรุนแรงสูง
ช่องโหว่อื่นๆ อีกสองรายการที่ระบุว่ามีระดับความรุนแรงสูง:
- CVE-2022-1482 Inappropriate implementation in WebGL ใน Google Chrome โดยผู้โจมตีจะหลอกให้เหยื่อเข้าใช้งานหน้าเว็บที่สร้างขึ้นเป็นพิเศษ ซึ่งจะทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนระบบเป้าหมายได้
- CVE-2022-1483 heap buffer overflow in WebGPU ซึ่งเป็น API ของเว็บที่แสดงความสามารถด้านคอมพิวเตอร์กราฟิก ซึ่งปกติแล้ว buffer overflow จะเป็นช่องโหว่ของซอฟต์แวร์ประเภทหนึ่งที่เกิดขึ้นเมื่อพื้นที่ของหน่วยความจำภายในแอปพลิเคชันซอฟต์แวร์ถึงขีดจำกัดที่มีอยู่ และจะมีการเขียนข้อมูลไปยังพื้นที่หน่วยความจำที่อยู่ติดกัน โดยช่องโหว่นี้เป้าหมายของการทำ overflow คือ stack และ heap
วิธีการอัปเดต
ผู้ใช้ Chrome บน Windows, Mac หรือ Linux ควรอัปเดตเป็นเวอร์ชัน 101.0.4951.41 โดยเร็วที่สุด ด้วยการอนุญาตให้มีการอัปเดตโดยอัตโนมัติ หรือเข้าไปที่ Chrome และคลิก Settings > About Chrome
ที่มา : blog.malwarebytes