เมื่อวันอังคารที่ผ่านมา Google ได้ออกแพตซ์อัปเดตด้านความปลอดภัยเร่งด่วนสำหรับ Chrome เพื่อแก้ไขช่องโหว่ zero-day ครั้งที่สองที่กำลังถูกใช้ในการโจมตีในปีนี้
Google ได้แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูง (CVE-2023-2136) ที่กำลังถูกนำไปใช้ในการโจมตี โดยการปล่อยแพตซ์อัปเดตด้านความปลอดภัยสำหรับเว็บเบราว์เซอร์ Chrome (เวอร์ชัน 112.0.5615.137) โดยอัปเดตนี้แก้ไขช่องโหว่ทั้งหมด 8 รายการ โดย Google ได้มีการออกแพตซ์อัปเดตสำหรับผู้ใช้งาน Windows และ Mac แต่ในส่วนของเวอร์ชัน Linux จะมีออกแพตซ์อัปเดตในภายหลัง
รายละเอียดของการโจมตียังไม่มีการเปิดเผย
ช่องโหว่ CVE-2023-2136 integer overflow ซึ่งส่งผลกระทบต่อ Skia ซึ่งเป็นโอเพ่นซอร์สไลบรารีกราฟิก 2D ที่ใช้งานได้บนหลายแพลตฟอร์มของ Google ที่เขียนด้วยภาษา C++
โดย Skia บน Chrome มี API สำหรับการแสดงผลกราฟิก ข้อความ รูปร่าง รูปภาพ และภาพเคลื่อนไหว และถือเป็นองค์ประกอบหลักของขั้นตอนการแสดงผลของเบราว์เซอร์ ซึ่งอาจนำไปสู่การเรนเดอร์ที่ไม่ถูกต้อง อาจะทำให้หน่วยความจำเสียหาย และเรียกใช้งานโค้ดที่เป็นอันตราย ซึ่งอาจนำไปสู่การเข้าถึงระบบโดยไม่ได้รับอนุญาต โดยช่องโหว่นี้ถูกรายงานโดย Clément Lecigne จาก Threat Analysis Group ของ Google
เพื่อให้ผู้ใช้งานได้มีเวลาอัปเดต Google จึงยังไม่มีการเปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์การโจมตีจนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแพตช์
ผู้โจมตีมักนำช่องโหว่เหล่านี้ไปใช้ประโยชน์ โดยส่วนใหญ่คือกลุ่มผู้โจมตีได้รับการสนับสนุนจากหน่วยงานรัฐบาล ซึ่งมุ่งเน้นไปที่บุคคลสำคัญในรัฐบาล สื่อ หรือองค์กรอื่น ๆ ที่สำคัญ ดังนั้นขอแนะนำให้ผู้ใช้ Chrome ทุกคนอัปเดตแพตซ์โดยเร็วที่สุดเพื่อป้องกันการถูกโจมตีจากช่องโหว่เหล่านี้
ที่มา : bleepingcomputer