แพตซ์ด่วน! อัปเดตแพตซ์ช่องโหว่ระดับ Critical บน Chrome และ Edge

Google ได้ออกแพตซ์อัปเดตสำหรับเบราว์เซอร์ Chrome ที่มีการแก้ไขช่องโหว่ด้านความปลอดภัยกว่า 30 รายการ โดยเวอร์ชันล่าสุดที่แนะนำคือ Chrome 101.0.4951.41 สำหรับ Windows, Mac และ Linux โดยเวอร์ชันนี้ได้มีการแก้ไขช่องโหว่ที่ทำให้ผู้โจมตีสามารถใช้เพื่อควบคุมระบบที่มีช่องโหว่ได้

ขณะที่ Microsoft ก็แนะนำให้ผู้ใช้งาน Edge ซึ่งเป็น Chrome เวอร์ชันที่ได้รับการรับรองจาก Microsoft ให้อัปเดตด้วยเช่นกัน เนื่องจากมีช่องโหว่หลายจุดร่วมกัน

มีช่องโหว่ 7 รายการ ที่ได้รับการจัดอันดับว่าเป็นระดับความรุนแรงสูง โดยมีช่องโหว่ 5 รายการ เป็นช่องโหว่ที่เกิดขึ้นจาก “Use after free” ซึ่งเป็นปัญหาการย้ายหน่วยความจำที่ทำให้แฮ็กเกอร์สามารถสั่งรันโค้ดที่เป็นอันตรายได้ เมื่อผู้ใช้งานเข้าไปยังหน้าเว็บที่เป็นอันตรายที่ถูกสร้างขึ้น

Use after free
ช่องโหว่ "Use after free" ที่ได้มีการระบุไว้ในฐานข้อมูลช่องโหว่ (CVE) ที่มีระดับความรุนแรงสูง ได้แก่:

  • CVE-2022-1477 ช่องโหว่ use-after-free ใน Vulkan graphics API
  • CVE-2022-1479 ช่องโหว่ use-after-free ใน ANGLE ซึ่งเป็น "graphics engine abstraction layer"
  • CVE-2022-1480 ช่องโหว่ use-after-free ใน Device API โดยผู้โจมตีจะหลอกให้เหยื่อเข้าใช้งานหน้าเว็บที่สร้างขึ้นเป็นพิเศษ ซึ่งจะทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนระบบเป้าหมายได้
  • CVE-2022-1481 ช่องโหว่ use-after-free เกี่ยวกับการ Sharing โดยผู้โจมตีจะหลอกให้เหยื่อเข้าใช้งานหน้าเว็บที่สร้างขึ้นเป็นพิเศษ ซึ่งจะทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนระบบเป้าหมายได้

ช่องโหว่อื่นๆ ที่มีความรุนแรงสูง

ช่องโหว่อื่นๆ อีกสองรายการที่ระบุว่ามีระดับความรุนแรงสูง:

  • CVE-2022-1482 Inappropriate implementation in WebGL ใน Google Chrome โดยผู้โจมตีจะหลอกให้เหยื่อเข้าใช้งานหน้าเว็บที่สร้างขึ้นเป็นพิเศษ ซึ่งจะทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนระบบเป้าหมายได้
  • CVE-2022-1483 heap buffer overflow in WebGPU ซึ่งเป็น API ของเว็บที่แสดงความสามารถด้านคอมพิวเตอร์กราฟิก ซึ่งปกติแล้ว buffer overflow จะเป็นช่องโหว่ของซอฟต์แวร์ประเภทหนึ่งที่เกิดขึ้นเมื่อพื้นที่ของหน่วยความจำภายในแอปพลิเคชันซอฟต์แวร์ถึงขีดจำกัดที่มีอยู่ และจะมีการเขียนข้อมูลไปยังพื้นที่หน่วยความจำที่อยู่ติดกัน โดยช่องโหว่นี้เป้าหมายของการทำ overflow คือ stack และ heap

วิธีการอัปเดต

ผู้ใช้ Chrome บน Windows, Mac หรือ Linux ควรอัปเดตเป็นเวอร์ชัน 101.0.4951.41 โดยเร็วที่สุด ด้วยการอนุญาตให้มีการอัปเดตโดยอัตโนมัติ หรือเข้าไปที่ Chrome และคลิก Settings > About Chrome

ที่มา : blog.malwarebytes