วันที่ 21 สิงหาคม 2024 ที่ผ่านมา Google ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินสำหรับ Chrome เพื่อแก้ไขช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตี
โดย Google ระบุว่า "Google ได้รับข้อมูลว่ากำลังมีการโจมตีโดยใช้ประโยชน์จากช่องโหว่ CVE-2024-7971"
นักวิจัยด้านความปลอดภัยจาก Microsoft Threat Intelligence Center (MSTIC) และ Microsoft Security Response Center (MSRC) รายงานเกี่ยวกับช่องโหว่นี้ว่า "ช่องโหว่ zero-day ดังกล่าว อยู่ในระดับความรุนแรงสูง โดยเกิดจากช่องโหว่ใน JavaScript V8 engine ของ Chrome"
แม้ว่าช่องโหว่ลักษณะนี้ มักจะทำให้ผู้โจมตีสามารถทำให้เบราว์เซอร์หยุดการทำงานได้ หลังจากที่ข้อมูลที่จัดสรรลงในหน่วยความจำถูกตีความว่าเป็นประเภทอื่น ผู้โจมตียังสามารถใช้ประโยชน์จากช่องโหว่นี้ในการเรียกใช้คำสั่งได้ตามที่ต้องการบนอุปกรณ์เป้าหมายที่ใช้เบราว์เซอร์ที่มีช่องโหว่
Google ได้แก้ไขช่องโหว่ zero-day นี้ด้วยการอัปเดตเวอร์ชัน 128.0.6613.84/.85 สำหรับ Windows/macOS และ 128.0.6613.84 (Linux) ซึ่งคาดว่าจะถูกอัปเดตไปยังผู้ใช้ทั้งหมดในอีกไม่กี่สัปดาห์ข้างหน้า
แม้ว่า Chrome จะอัปเดตอัตโนมัติเมื่อมีแพตช์อัปเดตด้านความปลอดภัย แต่ผู้ใช้งานก็ยังสามารถอัปเดตเองได้โดยไปที่เมนู Chrome menu > Help > About Google Chrome จากนั้นรอให้การอัปเดตเสร็จสิ้น และคลิกปุ่ม 'Relaunch' เพื่อติดตั้ง
แม้ว่า Google จะยืนยันว่าช่องโหว่ CVE-2024-7971 กำลังถูกใช้ในการโจมตี แต่บริษัทยังไม่ได้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีที่เกิดขึ้น
CVE-2024-7971 เป็นช่องโหว่ zero-day ที่ถูกแก้ไขโดย Google ในปี 2024 เป็นครั้งที่ 9 ซึ่งมีทั้งที่ถูกใช้ในการโจมตีจริง หรือในการแข่งขันแฮ็ก Pwn2Own
CVE-2024-0519 ช่องโหว่ในการเข้าถึง out-of-bounds memory ภายใน Chrome V8 JavaScript engine ที่ทำให้ Hacker สามารถโจมตีจากระยะไกลจาก heap corruption ของ HTML ที่สร้างขึ้นมาเป็นพิเศษ ซึ่งนำไปสู่การเข้าถึงข้อมูลที่มีความสำคัญโดยไม่ได้รับอนุญาต
CVE-2024-2887 ช่องโหว่ confusion flaw ความรุนแรงระดับสูงใน WebAssembly (Wasm) standard ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยใช้ประโยชน์จากเพจ HTML ที่สร้างขึ้นมาเป็นพิเศษ
CVE-2024-2886 ช่องโหว่แบบ use-after-free ใน WebCodecs API ที่เว็บแอปพลิเคชันใช้เพื่อเข้ารหัส และถอดรหัสเสียง และวิดีโอ ทำให้ Hacker สามารถโจมตีจากระยะไกล เพื่ออ่าน และเขียนคำสั่งผ่านหน้า HTML ที่สร้างขึ้นมาเป็นพิเศษ ซึ่งนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล
CVE-2024-3159 ช่องโหว่ out-of-bounds read ใน Chrome V8 JavaScript engine ที่ทำให้ Hacker สามารถโจมตีจากระยะไกล โดยใช้หน้า HTML ที่สร้างขึ้นมาเป็นพิเศษเพื่อเข้าถึงข้อมูลที่อยู่นอกเหนือ memory buffer ที่จัดไว้ ส่งผลให้เกิด heap corruption ที่สามารถใช้ประโยชน์เพื่อดึงข้อมูลที่มีความสำคัญได้
CVE-2024-4671 ช่องโหว่ use-after-free ใน Visuals component ที่จัดการการเรนเดอร์ และการแสดงเนื้อหาบนเบราว์เซอร์
CVE-2024-4761: ช่องโหว่ out-of-bounds write ใน JavaScript V8 ของ Chrome ซึ่งเกี่ยวข้องกับการเรียกใช้โค้ด JS ในแอปพลิเคชัน
CVE-2024-4947: ช่องโหว่ Type confusion ใน JavaScript V8 ของ Chrome ที่ทำให้สามารถเรียกใช้โค้ดได้ตามที่ต้องการบนอุปกรณ์เป้าหมาย
CVE-2024-5274: ช่องโหว่ Type confusion ใน JavaScript V8 ของ Chrome ที่สามารถนำไปสู่การหยุดการทำงานของเบราว์เซอร์ ข้อมูลเสียหาย หรือการเรียกใช้โค้ดได้ตามที่ต้องการ
ที่มา : bleepingcomputer
You must be logged in to post a comment.