เวอร์ชันล่าสุดของ Cursor และ Windsurf ซึ่งเป็น integrated development environments (IDE) ถูกพบว่ามีช่องโหว่ด้านความปลอดภัย และได้รับการแก้ไขแล้วมากกว่า 94 รายการ ทั้งใน Chromium browser และ V8 JavaScript engine

โดยคาดว่ามีนักพัฒนาประมาณ 1.8 ล้านคน เป็นผู้ใช้งานหลักของ IDE ทั้งสองรายการนี้ ซึ่งกำลังตกอยู่ในความเสี่ยงจากช่องโหว่ดังกล่าว

(more…)

Google ได้ประกาศแพตช์อัปเดตให้กับเบราว์เซอร์ Google Chrome เพื่อแก้ไขช่องโหว่ Zero-day ที่มีระดับความรุนแรงสูง

รายละเอียดของ Zero-day

โดยปกติแล้ว Google จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Zero-day จนกว่าผู้ใช้งาน Chrome ส่วนใหญ่จะได้รับการอัปเดต

ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-2856 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง เนื่องจากเป็นช่องโหว่เรื่องการตรวจสอบอินพุตในฟีเจอร์ที่เรียกแอปพลิเคชัน และบริการเว็บโดยตรงจากหน้าเว็บเพจ

การตรวจสอบความถูกต้องของอินพุตที่ไม่เหมาะสมในซอฟต์แวร์สามารถนำไปสู่ buffer overflow , directory traversal , SQL injection , cross-site scripting, null byte injection และอื่นๆ

ช่องโหว่นี้ถูกค้นพบ และรายงานโดย Ashley Shen และ Christian Resell ซึ่งเป็นสมาชิกของ Google Threat Analysis Group (TAG)

การอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 5 นับตั้งแต่ต้นปี โดยช่องโหว่ zero-day 4 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่ :

CVE-2022-0609 - Use-after-free in Animation – February 14

CVE-2022-1096 - Type confusion in V8 – March 25

CVE-2022-1364 - Type confusion in V8 – April 14

CVE-2022-2294 - Heap buffer overflow in WebRTC – July 4

Google แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 104.0.5112.101 สำหรับ macOS และ Linux และเวอร์ชัน 104.0.5112.102/101 สำหรับ Windows เพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้นกับผู้ใช้งานเบราว์เซอร์ที่ใช้ Chromium เช่น Microsoft Edge, Brave, Opera และ Vivaldi จึงแนะนำให้ผู้ใช้งานทำการการอัปเดตเวอร์ชันก่อนการใช้งาน

ที่มา : bleepingcomputer