Google แจ้งเตือนช่องโหว่ CVE-2024-7965 ใน Chrome ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

Google เปิดเผยว่าช่องโหว่ความปลอดภัยที่ได้รับการแก้ไขแล้วผ่านการอัปเดตซอฟต์แวร์เมื่อสัปดาห์ที่แล้วสำหรับเบราว์เซอร์ Chrome กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องอยู่ในขณะนี้

ช่องโหว่นี้มีหมายเลข CVE-2024-7965 โดยถูกอธิบายว่าเป็นช่องโหว่ inappropriate implementation ใน V8 JavaScript และ WebAssembly engine

ตามคำอธิบายของช่องโหว่ในฐานข้อมูล National Vulnerability Database (NVD) ของ NIST ระบุว่า "Inappropriate implementation ใน V8 ของ Google Chrome เวอร์ชันก่อน 128.0.6613.84 ทำให้ผู้โจมตีจากภายนอกสามารถใช้การโจมตีทำให้เกิด heap corruption ผ่านหน้า HTML ที่ถูกสร้างขึ้นมาโดยเฉพาะได้"

นักวิจัยด้านความปลอดภัยที่ใช้นามแฝงว่า TheDog ได้รับเครดิตสำหรับเป็นผู้ค้นพบ และรายงานช่องโหว่นี้เมื่อวันที่ 30 กรกฎาคม 2024 และได้รับรางวัลค่าตอบแทนจากการรายงานช่องโหว่ดังกล่าวเป็นเงินรางวัลมูลค่า $11,000

ยังไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับลักษณะของการโจมตีที่ใช้ช่องโหว่นี้ หรือข้อมูลเกี่ยวกับผู้โจมตี อย่างไรก็ตาม ทาง Google ยืนยันว่าพวกเขาทราบถึงการโจมตีที่ใช้ช่องโหว่ CVE-2024-7965 อยู่ในขณะนี้

ทาง Google ยังระบุว่า “มีรายงานการโจมตีจากช่องโหว่ CVE-2024-7965 หลังจากการปล่อยอัปเดตไปแล้ว” อย่างไรก็ตามขณะนี้ยังไม่ชัดเจนว่าช่องโหว่ดังกล่าวถูกใช้เป็นการโจมตีแบบ zero-day มาก่อนที่จะถูกเปิดเผยเมื่อสัปดาห์ที่แล้วหรือไม่

นับตั้งแต่ต้นปี 2024 ทาง Google ได้แก้ไขช่องโหว่ zero-day ใน Chrome ไปแล้วทั้งหมด 9 รายการ รวมถึง 3 รายการที่ถูกสาธิตในงาน Pwn2Own 2024 ได้แก่

  • CVE-2024-0519 - ช่องโหว่การเข้าถึง Out-of-bounds memory ใน Chrome V8
  • CVE-2024-2886 - ช่องโหว่ Use-after-free ใน WebCodecs (สาธิตในงาน Pwn2Own 2024)
  • CVE-2024-2887 - ช่องโหว่ Type confusion ใน WebAssembly (สาธิตในงาน Pwn2Own 2024)
  • CVE-2024-3159 - ช่องโหว่การเข้าถึง Out-of-bounds memory ใน Chrome V8 (สาธิในงาน Pwn2Own 2024)
  • CVE-2024-4671 - ช่องโหว่ Use-after-free ใน Visuals
  • CVE-2024-4761 - ช่องโหว่ Out-of-bounds write ใน V8
  • CVE-2024-4947 - ช่องโหว่ Type confusion ใน V8
  • CVE-2024-5274 - ช่องโหว่ Type confusion ใน V8
  • CVE-2024-7971 - ช่องโหว่ Type confusion ใน V8

ขอแนะนำให้ผู้ใช้ทำการอัปเกรด Chrome เป็นเวอร์ชัน 128.0.6613.84/.85 สำหรับ Windows และ macOS และเวอร์ชัน 128.0.6613.84 สำหรับ Linux เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น

ที่มา : Thehackernews