Google ออกแพตซ์อัปเดตด้านความปลอดภัยเร่งด่วนสำหรับ Chrome เพื่อแก้ไขช่องโหว่ zero-day ที่กำลังถูกนำมาใช้ในการโจมตีเป็นครั้งแรกตั้งแต่ต้นปีนี้

โดย Google ระบุในคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันศุกร์ที่ผ่านมาว่า (14 เมษายน 2566) ได้รับรายงานว่ากำลังมีการโจมตีโดยการใช้ประโยชน์จากช่องโหว่ CVE-2023-2033 อยู่ในปัจจุบัน

โดย Chrome เวอร์ชันใหม่ที่ออกมาจะทำให้ผู้ใช้งานทั้งหมดอัปเดตได้ครบถ้วนภายในอีกไม่กี่วัน หรือภายในสัปดาห์หน้า

ผู้ใช้งาน Chrome ควรอัปเดตเป็นเวอร์ชัน 112.0.5615.121 โดยเร็วที่สุด โดยช่องโหว่ CVE-2023-2033 กระทบกับทั้งระบบ Windows, Mac และ Linux

รายละเอียดของการโจมตียังไม่มีการเปิดเผย

มีการระบุข้อมูลของช่องโหว่ Zero-day CVE-2023-2033 ในเบื้องต้นว่าเกิดจากช่องโหว่ใน Chrome V8 JavaScript โดยช่องโหว่ได้รับการรายงานโดย Clement Lecigne จาก Google threat analysis group (TAG) ซึ่งเป้าหมายหลักของทีม TAG ของ Google คือการปกป้องผู้ใช้งานของ Google จากการโจมตีที่คาดว่าผู้โจมตีได้รับการสนับสนุนจากหน่วยงานรัฐบาล

Google Tags มักจะรายงานช่องโหว่ Zero-day ที่ผู้โจมตีที่ได้รับการสนับสนุนจากหน่วยงานรัฐบาลนำมาใช้ประโยชน์จากการโจมตีเป้าหมายที่เป็นบุคคลระดับสูง เพื่อติดตั้งสปายแวร์บนอุปกรณ์ รวมไปถึงนักข่าว นักการเมืองฝ่ายค้าน และผู้ไม่เห็นด้วยกับรัฐบาลเหล่านั้นจากทั่วโลก

แม้ว่าโดยทั่วไปช่องโหว่จะเกิดจากการทำให้เบราว์เซอร์หยุดการทำงานภายหลังจากการโจมตีได้สำเร็จผ่านทางการอ่าน หรือเขียนบนหน่วยความจำ แต่ผู้โจมตียังสามารถใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อเรียกใช้งานโค้ดที่เป็นอันตรายได้ตามที่ต้องการบนอุปกรณ์ที่ถูกโจมตี

โดย Google ระบุว่าได้รับรายงานว่ากำลังมีการโจมตีโดยการใช้ประโยชน์จากช่องโหว่ CVE-2023-2033 แล้ว แต่จะยังไม่มีการเปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์การโจมตีจนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแพตช์

โดย Chrome จะทำการอัปเดตโดยอัตโนมัติ โดยที่ผู้ใช้งานไม่ต้องดำเนินการใด ๆ ส่วนหากต้องการอัปเดตด้วยตนเองสามารถเข้าไปที่ Chrome menu > Help > About Google Chrome เพื่ออัปเดตได้

ที่มา : bleepingcomputer

Google ได้ประกาศแพตช์อัปเดตให้กับ Google Chrome Browser เพื่อแก้ไขช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูง

รายละเอียดของช่องโหว่

โดยปกติแล้ว Google จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Zero-day จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแล้ว โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-4135 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง ที่เกิดจาก Heap-based buffer overflow บน GPU component ที่จะทำให้โปรแกรมเกิดข้อผิดพลาด และผู้ไม่หวังดีสามารถรันโค้ดที่เป็นอันตรายได้หากโจมตีสำเร็จ

ช่องโหว่นี้ถูกพบโดย Clement Lecigne จาก Threat Analysis Group เมื่อวันที่ 22 พฤศจิการยนที่ผ่านมา และในการการอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 8 นับตั้งแต่ต้นปี ของ Google โดยช่องโหว่ zero-day 7 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่ :

CVE-2022-0609 - Use-after-free in Animation – February 14th, 2022
CVE-2022-1096 - Type confusion in V8 – March 25th, 2022
CVE-2022-1364 - Type confusion in V8 – April 14th, 2022
CVE-2022-2294 - Heap buffer overflow in WebRTC – July 4th, 2022
CVE-2022-2856 - Insufficient validation of untrusted input in Intents - September 2nd, 2022
CVE-2022-3075 - Insufficient data validation in Mojo - August 30th, 2022
CVE-2022-3723 - Type confusion in V8 - October 27th, 2022

Google แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 107.0.5304.121 สำหรับ macOS และ Linux และเวอร์ชั่น 107.0.5304.121/.122 สำหรับ Windows เพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้น

Browser อื่น ๆ ที่อยู่บน Chromium-based เช่น Microsoft Edge, Brave, Opera และ Vivaldi แนะนำให้ผู้ใช้งานทำการอัปเดตเวอร์ชันที่ได้รับการแก้ไขแล้วก่อนการใช้งานเช่นเดียวกัน

ที่มา : thehackernews

 

เมื่อวันที่ 27 ตุลาคม 2022 ที่ผ่านมา Google ได้ออกอัปเดตแพตซ์เร่งด่วนเพื่อแก้ไขช่องโหว่ Zero Day บนเว็บเบราว์เซอร์ Chrome โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-3723 ซึ่งเป็นช่องโหว่ Type Confusion ที่เกิดขึ้นกับ V8 JavaScript Engine

Jan Vojtěšek, Milánek และ Przemek Gmerek นักวิจัยจาก Avast เป็นผู้รายงานช่องโหว่นี้เมื่อวันที่ 25 ตุลาคม 2022

Google ระบุว่ารับทราบถึงรายงานที่พบการโจมตีจากช่องโหว่ CVE-2022-3723 ดังกล่าวแล้ว แต่ไม่ได้ให้ข้อมูลรายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีดังกล่าว

โดยช่องโหว่ CVE-2022-3723 เป็นช่องโหว่ Type Confusion ช่องโหว่ที่สาม ที่ถูกใช้ในการโจมตีผ่านช่องโหว่บน V8 JavaScript Engine ในปีนี้ ต่อจาก CVE-2022-1096 และ CVE-2022-1364

โดยช่องโหว่ดังกล่าวถือเป็น Zero Day ลำดับที่ 7 ของ Google Chrome ตั้งแต่ต้นปี 2565

CVE-2022-0609 - ช่องโหว่ Use-after-free ใน Animation
CVE-2022-1096 - ช่องโหว่ Type Confusion ใน V8
CVE-2022-1364 - ช่องโหว่ Type Confusion ใน V8
CVE-2022-2294 - ช่องโหว่ Heap buffer overflow ใน WebRTC
CVE-2022-2856 - ช่องโหว่การตรวจสอบข้อมูล untrusted input ที่ไม่เพียงพอใน Web Intents
CVE-2022-3075 - ช่องโหว่ใน Mojo ไลบรารี ซึ่งเป็นส่วนหนึ่งของ Chrome ที่ใช้ในการรับส่งข้อความระหว่างเบราเซอร์ และระบบปฏิบัติการที่ทำงานอยู่

แนะนำให้ผู้ใช้งาน Update เป็น version 107.0.5304.87 สำหรับ macOS และ Linux และ version 107.0.5304.87/.88 สำหรับ Windows เพื่อลดความเสี่ยงจากการโจมตีที่อาจเกิดขึ้น

ส่วนผู้ใช้งานที่ใช้ Chromium-based Browsers เช่น Microsoft Edge, Brave, Opera และ Vivaldi แนะนำให้อัปเดตเช่นกันหากมีแพตซ์อัปเดตออกมา

ที่มา: thehackernews

Google ได้ประกาศแพตช์อัปเดตให้กับ Google Chrome Browser เพื่อแก้ไขช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูง

รายละเอียดของช่องโหว่

โดยปกติแล้ว Google จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Zero-day จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแล้ว

ซึ่งช่องโหว่ในครั้งนี้มีหมายเลข CVE-2022-3075 ซึ่งเป็นช่องโหว่ที่มีระดับความรุนแรงสูง เกี่ยวกับการตรวจสอบข้อมูลไม่ถูกต้องใน Mojo ซึ่งก็คือชุดของ runtime libraries ที่มีกลไก platform-agnostic (แพลตฟอร์มการทำให้ระบบทำงาน หรือสื่อสารกันได้) สำหรับ Inter-process communication (IPC)

ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยนิรนามคนหนึ่งเมื่อวันที่ 30 สิงหาคม 2565 ที่ผ่านมา และการอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 6 ของ Google Chrome Browser นับตั้งแต่ต้นปี โดยช่องโหว่ zero-day 5 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่ :

CVE-2022-0609 - Use-after-free in Animation - February 14th, 2022
CVE-2022-1096 - Type confusion in V8 - March 25th, 2022
CVE-2022-1364 - Type confusion in V8 - April 14th, 2022
CVE-2022-2294 - Heap buffer overflow in WebRTC - July 4th, 2022
CVE-2022-2856 - Insufficient validation of untrusted input in Intents - September 2nd, 2022

Google แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 105.0.5195.102 สำหรับ Windows, macOS และ Linux และเพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้นกับผู้ใช้งานเบราว์เซอร์ที่ใช้ Chromium เช่น Microsoft Edge, Brave, Opera และ Vivaldi จึงแนะนำให้ผู้ใช้งานทำการอัปเดตเวอร์ชันก่อนการใช้งาน

ที่มา : thehackernews

นักวิเคราะห์ภัยคุมคามจาก McAfee พบ Extensions 5 ตัวในเว็บเบราว์เซอร์ของ Google Chrome ที่ปลอมแปลงเป็น Extension ของ Netflix และอื่น ๆ เพื่อขโมยประวัติการเข้าเว็บไซต์ต่างๆของผู้ใช้งาน และสร้างรายได้จากการช็อปปิ้งออนไลน์ของเหยื่อ

Oliver Devane และ Vallabh Chole นักวิเคราะห์จาก McAfee ระบุว่า "Extensions เหล่านี้ มีฟังก์ชันต่าง ๆ เช่น ให้ผู้ใช้สามารถรับชมรายการ Netflix ร่วมกัน คูปองส่วนลดจากเว็บไซต์ และการบันทึกหน้าจอของเว็บไซต์"

Chrome Extensions ดังกล่าวสามารถดาวน์โหลดได้ผ่านทาง Chrome Web Store โดยมียอดดาวน์โหลดรวมกว่า 1.4 ล้านครั้ง

Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) - ดาวน์โหลด 800,000 ครั้ง
Netflix Party (flijfnhifgdcbhglkneplegafminjnhn) - ดาวน์โหลด 300,000 ครั้ง
FlipShope – ส่วนขยายตัวติดตามราคา (adikhbfjdbjkhelbdnffogkobkekkkej) - 80,000 ดาวน์โหลด
Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) - ดาวน์โหลด 200,000 ครั้ง
AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) - ดาวน์โหลด 20,000 ครั้ง

Extensions ออกแบบมาเพื่อโหลด JavaScript ที่ใช้ในการเก็บข้อมูลการเยี่ยมชมเว็ปไซต์ และแทรกโค้ดลงใน e-commerce portals ซึ่งจะทำให้ผู้โจมตีสามารถได้ส่วนแบ่งรายได้ หากเหยื่อซื้อของบนเว็ปไซต์ช็อปปิ้งออนไลน์ต่าง ๆ

"ทุกเว็บไซต์ที่เข้าชมจะถูกส่งไปยังเซิร์ฟเวอร์ที่ผู้สร้าง Extensions เป็นเจ้าของ" นักวิจัยระบุว่า"พวกเขาทำเช่นนี้เพื่อให้สามารถแทรกโค้ดลงในเว็บไซต์ e-commerce ที่เหยื่อกำลังเข้าชมได้"

มัลแวร์ยังตั้งเวลาทำงานไว้ 15 วัน นับจากวันที่ติดตั้ง Extensions เพื่อช่วยให้หลีกเลี่ยงการถูกตรวจจับพฤติกรรมที่ผิดปกติได้

การค้นพบครั้งนี้เกิดขึ้นหลังจากการค้นพบ Extensions บนเบราว์เซอร์ Chrome 13 ตัวในเดือนมีนาคม 2565 ซึ่งมีการเปลี่ยนเส้นทางผู้ใช้ในสหรัฐอเมริกา ยุโรป และอินเดียไปยังเว็ปไซต์ฟิชชิ่ง และขโมยข้อมูลสำคัญของเหยื่อ

เมื่อวันพุธที่ผ่านมา Extensions ทั้ง 5 ตัวได้ถูกลบออกจาก Chrome เว็บสโตร์แล้ว อย่างไรก็ตามขอแนะนำให้ผู้ใช้ที่ติดตั้ง Extensions ดังกล่าวไปแล้ว ลบออกจากเบราว์เซอร์ Chrome ด้วยตนเองเพื่อลดความเสี่ยงอื่น ๆ ที่จะตามมาภายหลัง

ที่มา : thehackernews

Google ได้ประกาศแพตช์อัปเดตให้กับเบราว์เซอร์ Google Chrome เพื่อแก้ไขช่องโหว่ Zero-day ที่มีระดับความรุนแรงสูง

รายละเอียดของ Zero-day

โดยปกติแล้ว Google จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Zero-day จนกว่าผู้ใช้งาน Chrome ส่วนใหญ่จะได้รับการอัปเดต

ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-2856 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง เนื่องจากเป็นช่องโหว่เรื่องการตรวจสอบอินพุตในฟีเจอร์ที่เรียกแอปพลิเคชัน และบริการเว็บโดยตรงจากหน้าเว็บเพจ

การตรวจสอบความถูกต้องของอินพุตที่ไม่เหมาะสมในซอฟต์แวร์สามารถนำไปสู่ buffer overflow , directory traversal , SQL injection , cross-site scripting, null byte injection และอื่นๆ

ช่องโหว่นี้ถูกค้นพบ และรายงานโดย Ashley Shen และ Christian Resell ซึ่งเป็นสมาชิกของ Google Threat Analysis Group (TAG)

การอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 5 นับตั้งแต่ต้นปี โดยช่องโหว่ zero-day 4 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่ :

CVE-2022-0609 - Use-after-free in Animation – February 14

CVE-2022-1096 - Type confusion in V8 – March 25

CVE-2022-1364 - Type confusion in V8 – April 14

CVE-2022-2294 - Heap buffer overflow in WebRTC – July 4

Google แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 104.0.5112.101 สำหรับ macOS และ Linux และเวอร์ชัน 104.0.5112.102/101 สำหรับ Windows เพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้นกับผู้ใช้งานเบราว์เซอร์ที่ใช้ Chromium เช่น Microsoft Edge, Brave, Opera และ Vivaldi จึงแนะนำให้ผู้ใช้งานทำการการอัปเดตเวอร์ชันก่อนการใช้งาน

ที่มา : bleepingcomputer

กลุ่มแฮ็กเกอร์จากอิสราเอล Candiru ใช้ช่องโหว่ Zero-day บน Google Chrome เพื่อสอดแนมนักข่าว และบุคคลที่เป็นเป้าหมายในตะวันออกกลางด้วยสปายแวร์ 'DevilsTongue' ช่องโหว่ CVE-2022-2294 เป็นช่องโหว่ heap-based buffer overflow ที่มีระดับความรุนแรงสูงใน WebRTC ซึ่งหากโจมตีได้สำเร็จ จะสามารถสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ที่เป็นเป้าหมายได้ โดย Google ออกอัปเดตแพตซ์ Zero-day ดังกล่าวไปแล้วในวันที่ 4 กรกฎาคม ซึ่ง Google ยอมรับว่าช่องโหว่นี้ถูกใช้ในการโจมตีอยู่จริง แต่ไม่ได้ให้รายละเอียดเพิ่มเติม โดยรายงานจากนักวิจัยจาก Avast ซึ่งค้นพบช่องโหว่ดังกล่าว และเป็นผู้รายงานไปยัง Google เปิดเผยว่าพวกเขาค้นพบช่องโหว่ดังกล่าวหลังจากตรวจสอบการโจมตีด้วยสปายแวร์บนเครื่อง clients จากข้อมูลของ Avast Candiru เริ่มโจมตีโดยใช้ช่องโหว่ CVE-2022-2294 ในเดือนมีนาคม 2022 โดยกำหนดเป้าหมายไปยังผู้ใช้ในเลบานอน, ตุรกี, เยเมน และปาเลสไตน์ โดยผู้โจมตีใช้วิธีการ watering hole ด้วยการโจมตีเพื่อเข้าไปควบคุมเว็ปไซต์ที่เป้าหมายเข้าใช้เป็นประจำ จากนั้นก็ฝัง exploit ที่ใช้สำหรับโจมตี browser ที่มีช่องโหว่ของเป้าหมายที่เข้ามาใช้งานเว็ปไซต์เพื่อติดตั้ง spyware การโจมตีลักษณะนี้ไม่จำเป็นต้องให้เหยื่อคลิกลิงก์ หรือดาวน์โหลดอะไรเลย สิ่งที่พวกเขาต้องการคือให้เหยื่อเปิดเว็บไซต์นั้นๆด้วย Google Chrome หรือ Chromium-based browser ที่มีช่องโหว่เท่านั้น ซึ่งเว็บไซต์เหล่านี้อาจเป็นเว็บไซต์ตามปกติทั่วๆไป หรือเว็บไซต์ที่ถูกสร้างขึ้นโดยผู้โจมตี และหลอกให้เหยื่อเข้าใช้งานผ่านทาง spear phishing ก็ได้ ในกรณีหนึ่ง ผู้โจมตีทำการโจมตีเว็บไซต์ที่สำนักข่าวในเลบานอนใช้งาน และฝังโค้ด JavaScript ที่เปิดใช้งานการโจมตีแบบ XXS (cross-site scripting) และเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ใช้สำหรับโจมตีช่องโหว่บน browser ดังกล่าว

Avast ระบุในรายงานว่า "เมื่อเหยื่อเข้ามาถึงเซิร์ฟเวอร์ที่ใช้สำหรับโจมตี จะได้รับการพิสูจน์ว่าเป็นเป้าหมายจริงๆหรือไม่ด้วยการตรวจสอบข้อมูลภาษาที่ใช้, timezone, ข้อมูลบนหน้าจอ, ชนิดของอุปกรณ์, ปลั๊กอินบน browser, ข้อมูลบนหน่วยความจำ รวมไปถึงข้อมูล cookie ด้วย" ในกรณีของเลบานอน Zero-day จะช่วยทำให้ผู้โจมตีสามารถสั่งรัน shell code ได้สำเร็จ และหลบเลี่ยงการตรวจจับของแซนด์บ็อกซ์ของ chrome เนื่องจากช่องโหว่อยู่ใน WebRTC จึงส่งผลต่อ browser Safari ของ Apple ด้วย อย่างไรก็ตามการโจมตีที่ถูกตรวจพบโดย Avast สามารถทำงานได้บน Windows เท่านั้น หลังจากการติดตั้งครั้งแรก DevilsTongue จะใช้ขั้นตอน BYOVD ("bring your own driver") เพื่อยกระดับสิทธิ์ และกำหนดสิทธิ์การอ่าน และเขียนข้อมูลไปยังหน่วยความจำของอุปกรณ์ที่ถูกโจมตี

สิ่งที่น่าสนใจคือ Avast ค้นพบว่า BYOVD ที่ Candiru ใช้นั้นเป็น Zero-day เช่นเดียวกัน และแม้ว่าช่องโหว่จะได้รับการอัปเดตไปแล้ว แต่ก็ไม่สามารถป้องกันได้ เนื่องจากเวอร์ชันที่ถูกนำมาใช้กับ spyware คือเวอร์ชันที่ยังมีช่องโหว่อยู่นั่นเอง แม้ว่าจะไม่ชัดเจนว่าผู้โจมตีกำหนดเป้าหมายไปที่ข้อมูลประเภทใด แต่ Avast เชื่อว่าผู้โจมตีใช้ข้อมูลดังกล่าวเพื่อศึกษาเกี่ยวกับข่าวที่นักข่าวกำลังค้นคว้าอยู่ ผู้โจมตีเป็นที่รู้จักดีอยู่แล้วในด้านการพัฒนา หรือใช้ Zero-day เพื่อโจมตีบุคคลที่ตกเป็นเป้าหมาย แต่จากครั้งล่าสุดที่ Candiru ดำเนินการโจมตีถูกเปิดเผยโดย Microsoft และ Citizen Lab จึงทำให้กลุ่มผู้โจมตีได้พัฒนา DevilsTongue ด้วยการโจมตีจาก Zero-days รูปแบบใหม่ตามที่ Avast เปิดเผยในครั้งนี้ เพื่อแก้ไขปัญหานี้ Apple วางแผนที่จะสร้าง iOS 16 ใหม่ที่เรียกว่า 'Lockdown Mode' ซึ่งจำกัดคุณสมบัติ และการทำงานของอุปกรณ์เพื่อป้องกันการรั่วไหลของข้อมูล หรือลดผลกระทบจากการติดสปายแวร์ให้น้อยที่สุด

ที่มา: bleepingcomputer

 

ในวันพฤหัสบดีที่ 19 พฤษภาคม Threat Analysis Group (TAG) ของ Google รายงานว่า Cytrox ผู้พัฒนาสปายแวร์ ได้พัฒนาเครื่องมือที่ใช้ในการโจมตีช่องโหว่ Zero-day 5 รายการ เพื่อกำหนดเป้าหมายไปยังผู้ใช้ Android ด้วยสปายแวร์

มีการใช้งานช่องโหว่ Zero-day ร่วมกับช่องโหว่ n-day เพื่อติดตั้งสปายแวร์ โดยได้มีการพัฒนาเครื่องมือที่ใช้ในการโจมตีช่องโหว่สำหรับ Chrome Zero-day และ 1 ช่องโหว่สำหรับ Android Zero-day

CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 in Chrome
CVE-2021-1048 in Android

นักวิจัย TAG Clement Lecigne และ Christian Resell อธิบายว่ามีการใช้งานเครื่องมือที่ใช้ในการโจมตี Zero-day ร่วมกับ n-day โดยผู้โจมตีพยายามใช้ประโยชน์จากความแตกต่างของระยะเวลาในการออกแพตช์ในระดับ Critical บางตัว ซึ่งบางครั้งแพตช์เหล่านี้ไม่ได้ถูกปล่อยออกมาพร้อมกันบนอุปกรณ์ Android ทั้งหมดจากผู้ให้บริการในแต่ละราย

ตามข้อมูลของ Google ช่องโหว่ดังกล่าวรวมอยู่ในรายการสปายแวร์ของ Cytrox ที่ขายให้กับผู้ดำเนินการที่มีส่วนเกี่ยวข้องกับภาครัฐของชาติต่างๆ เช่น อียิปต์ อาร์เมเนีย กรีซ มาดากัสการ์ โกตดิวัวร์ เซอร์เบีย สเปน และอินโดนีเซีย ซึ่งผู้โจมตีกำลังใช้สปายแวร์ Predator ใน 3 แคมเปญที่แตกต่างกันในรายงานการวิเคราะห์จาก Citizen Lab ของมหาวิทยาลัยโตรอนโต

TAG ตรวจสอบ 3 แคมเปญ และได้สรุปว่าผู้โจมตีจะทำการส่งลิงก์ไปยังผู้ใช้ Android ผ่าน spear-phishing emails ลิงก์เหล่านี้จะถูกย่อโดยใช้ URL shortener ที่ใช้ทั่วไป ซึ่งผู้โจมตีจะมุ่งเป้าไปยังเหยื่อเพียงไม่กี่ราย เมื่อเหยื่อคลิกที่ URL เหล่านี้ ก็จะทำให้ถูกเปลี่ยนเส้นทางไปยังโดเมนภายใต้การควบคุมของผู้โจมตีซึ่งใช้ในการโจมตีช่องโหว่ดังกล่าว ก่อนที่จะเปลี่ยนเส้นทางกลับไปยังเว็บไซต์ที่ถูกต้อง การกระทำดังกล่าวใช้เพื่อส่ง ALIEN Android banking Trojan ที่ทำหน้าที่เป็นตัวโหลด Cytrox's Predator

(more…)

Google ได้ออกแพตซ์อัปเดตสำหรับเบราว์เซอร์ Chrome ที่มีการแก้ไขช่องโหว่ด้านความปลอดภัยกว่า 30 รายการ โดยเวอร์ชันล่าสุดที่แนะนำคือ Chrome 101.0.4951.41 สำหรับ Windows, Mac และ Linux โดยเวอร์ชันนี้ได้มีการแก้ไขช่องโหว่ที่ทำให้ผู้โจมตีสามารถใช้เพื่อควบคุมระบบที่มีช่องโหว่ได้

ขณะที่ Microsoft ก็แนะนำให้ผู้ใช้งาน Edge ซึ่งเป็น Chrome เวอร์ชันที่ได้รับการรับรองจาก Microsoft ให้อัปเดตด้วยเช่นกัน เนื่องจากมีช่องโหว่หลายจุดร่วมกัน

มีช่องโหว่ 7 รายการ ที่ได้รับการจัดอันดับว่าเป็นระดับความรุนแรงสูง โดยมีช่องโหว่ 5 รายการ เป็นช่องโหว่ที่เกิดขึ้นจาก “Use after free” ซึ่งเป็นปัญหาการย้ายหน่วยความจำที่ทำให้แฮ็กเกอร์สามารถสั่งรันโค้ดที่เป็นอันตรายได้ เมื่อผู้ใช้งานเข้าไปยังหน้าเว็บที่เป็นอันตรายที่ถูกสร้างขึ้น

(more…)

Google ออกแพตซ์อัพเดทสำหรับเบราว์เซอร์ Chrome เวอร์ชัน 100.0.4896.127 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ Zero-day ที่มีความรุนแรงสูง ที่กำลังถูกใช้ในการโจมตีจากผู้ไม่หวังดี

"Google ทราบดีถึงการโจมตีโดยช่องโหว่ CVE-2022-1364 ที่กำลังเกิดขึ้นอยู่ในปัจจุบัน" โดยระบุว่าการอัปเดตเบราว์เซอร์ Chrome นี้ ผู้ใช้งานสามารถอัพเดทได้ทันทีโดยไปที่ Chrome menu > Help > About Google Chrome เบราว์เซอร์จะทำการตรวจหาการอัปเดตใหม่โดยอัตโนมัติ และติดตั้งในครั้งต่อไปที่ผู้ใช้ได้ทำการปิด และเปิด Google Chrome ขึ้นมาใหม่

เนื่องจากช่องโหว่นี้เริ่มถูกนำไปใช้ในการโจมตีจำนวนมาก จึงแนะนำให้ผู้ใช้งานทำการตรวจสอบการอัปเดตเวอร์ชันด้วยตนเองทันที และทำการปิด-เปิดเบราว์เซอร์ใหม่เพื่อใช้งาน

รายละเอียดเพิ่มเติม

ช่องโหว่ zero-day ที่ได้รับการแก้ไขในครั้งนี้มีเลข CVE-2022-1364 เป็นช่องโหว่ type confusion ระดับความความรุนแรงสูง บน Chrome V8 JavaScript engine

แม้ว่าช่องโหว่ type confusion โดยทั่วไปแล้วจะทำให้เกิด browser crashes เมื่อถูกโจมตีได้สำเร็จ แต่ผู้โจมตียังสามารถโจมตีเพื่อสั่งรันโค้ดที่เป็นอันตรายได้ด้วยเช่นเดียวกัน

ช่องโหว่นี้ถูกค้นพบโดย Clément Lecigne จากกลุ่ม Google Threat Analysis ซึ่งเป็นผู้รายงานไปยังทีม Google Chrome ในขณะที่ Google กล่าวว่าพวกเขาตรวจพบการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้แล้ว แต่ไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับวิธีการโจมตีที่พบ

โดย Google แจ้งล่าสุดว่า "รายละเอียดของช่องโหว่จะยังไม่ถูกเปิดเผย จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตและการแก้ไข" ช่องโหว่นี้เป็นช่องโหว่เดียวในการอัปเดตครั้งนี้ ซึ่งแสดงให้เห็นว่า Chrome เวอร์ชัน 100.0.4896.127 เป็นการออกอัพเดทอย่างเร่งด่วนเพื่อแก้ไขช่องโหว่นี้โดยเฉพาะ

ช่องโหว่ Zero-day บน Chrome ช่องโหว่ที่ 3 ของปีนี้

ช่องโหว่ 2 รายการก่อนหน้านี้ที่พบในปี 2565 มีดังต่อไปนี้

CVE-2022-1096 - 25 มีนาคม
CVE-2022-0609 - 14 กุมภาพันธ์

ที่มา : bleepingcomputer.