Chrome ออกแพตช์ Update เวอร์ชัน 114 แก้ไขช่องโหว่ระดับ Critical
เมื่อวันอังคารที่ผ่านมา Google ออกอัปเดตด้านความปลอดภัยของ Chrome browser เวอร์ชัน 114 เพื่อแก้ไขช่องโหว่ 5 รายการ รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูง 4 รายการ ซึ่งถูกรายงานโดยนักวิจัยจากภายนอก
ช่องโหว่ที่สำคัญที่สุดคือ CVE-2023-3214 ซึ่งมีระดับความรุนแรงสูง เป็นช่องโหว่ use-after-free ในการชำระเงินอัตโนมัติ (Autofill payments) ซึ่งได้รับการรายงานโดย Rong Jian จาก VRI
ช่องโหว่ Use-after-free เป็นช่องโหว่ประเภทหนึ่งของ Memory corruption bugs ที่เกิดขึ้น เมื่อ pointer ไม่ถูกเคลียร์ภายหลังจากการจัดสรรหน่วยความจำ ซึ่งช่องโหว่ดังกล่าวอาจถูกนำไปใช้เพื่อทำการ Remote code execution (RCE), Denial-of-Service (DoS) หรือทำให้ข้อมูลเสียหาย และอาจนำไปสู่การถูกเข้าควบคุมระบบอย่างสมบูรณ์ หากมีการโจมตีร่วมกับช่องโหว่อื่น ๆ โดยใน Chrome การใช้ประโยชน์จากช่องโหว่ use-after-free ได้สำเร็จอาจทำให้สามารถเจาะผ่าน browser sandbox ได้ หากผู้โจมตีสามารถกำหนดเป้าหมาย Chrome process ที่มีสิทธิพิเศษ หรือช่องโหว่ในระบบปฏิบัติการพื้นฐาน
นอกจาก CVE-2023-3214 แล้ว Chrome ยังแก้ไขช่องโหว่ use-after-free อีก 2 รายการ ซึ่งเป็นช่องโหว่ที่จัดอยู่ในระดับความรุนแรงสูง ได้แก่ CVE-2023-3215 ที่ส่งผลกระทบต่อ WebRTC และ CVE-2023-3217 ที่ส่งผลกระทบต่อ WebXR และช่องโหว่ที่สี่ที่มีการรายงานจากนักวิจัยภายนอกได้มีการแก้ไขแล้วในเบราเซอร์เวอร์ชันใหม่นี้ ด้วยการแก้ไข confusion bug ใน V8 JavaScript engine
Chrome iteration เวอร์ชันล่าสุดคือ 14.0.5735.133 สำหรับ macOS และ Linux และเวอร์ชัน 114.0.5735.133/134 สำหรับ Windows
เวอร์ชันใหม่นี้ออกมาหนึ่งสัปดาห์ หลังจากที่ Google ได้ปล่อยแพตซ์อัปเดต Chrome ฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้ในการโจมตี ซึ่งเป็น Zero-day ใน Chrome browser ครั้งที่ 3 ตั้งแต่ต้นปี
ที่มา : www.