ในสัปดาห์นี้ Google ออกแพตซ์อัปเดตเบราว์เซอร์ Chrome ที่แก้ไขช่องโหว่เจ็ดรายการ โดยมีช่องโหว่ 4 รายการที่ถูกรายงานโดยนักวิจัยจากภายนอก
ช่องโหว่แรกมีหมายเลข CVE-2022-2007 โดยเป็นช่องโหว่เรื่อง use-after-free ใน WebGPU ถูกรายงานโดย David Manouchehri ซึ่งได้รับรางวัล 10,000 ดอลลาร์สำหรับการค้นพบช่องโหว่ดังกล่าว
Use-after-free จะเกิดขึ้นเมื่อโปรแกรมไม่เคลียร์ pointer หลังจากจัดสรรหน่วยความจำให้ว่าง จึงทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ในการสั่งรันโค้ดได้ตามที่ต้องการ, ทำให้เกิด DoS, data corruption หรือเป็นช่องทางให้ผู้โจมตีสามารถเข้าควบคุมเครื่องได้หากโจมตีร่วมกับช่องโหว่อื่นๆของ Chrome ซึ่งจะทำให้ผู้โจมตีสามารถเจาะผ่าน Sandbox ออกมาได้
ช่องโหว่ use-after-free อื่นที่ได้รับการแก้ไขในครั้งนี้ด้วยคือ CVE-2022-2011 ช่องโหว่ใน ANGLE ซึ่งเป็น graphics engine ของ Chrome ถูกรายงานโดย SeongHwan Park
อีกช่องโหว่หมายเลข CVE-2022-2008 ช่องโหว่ out-of-bounds memory access in WebGL ถูกรายงานโดย Tran Van Khang นักวิจัยจาก VinCSS Cybersecurity
ซึ่ง Google ระบุว่ายังไม่ได้กำหนดจำนวนเงินรางวัลที่จะต้องจ่ายสำหรับช่องโหว่ทั้งสองรายการนี้
ช่องโหว่ที่ 4 CVE-2022-2010 ช่องโหว่ out-of-bounds read in compositing ถูกรายงานโดย Mark Brand จาก Google Project Zero ซึ่งตามนโยบายของ Google นักวิจัยของ Google เองจะไม่ได้รับรางวัล
เวอร์ชันล่าสุดของ Chrome สำหรับผู้ใช้ Windows, Mac และ Linux คือเวอร์ชัน 102.0.5005.115 โดย Google ไม่ได้กล่าวถึงช่องโหว่เหล่านี้ว่าถูกนำไปใช้ในการโจมตีจริงแล้วหรือยัง แต่ก็แนะนำให้ผู้ใช้งานอัปเดตเบราว์เซอร์ของตนโดยเร็วที่สุด
ที่มา: Securityweek
You must be logged in to post a comment.