Google ได้ประกาศแพตช์อัปเดตให้กับเบราว์เซอร์ Google Chrome เพื่อแก้ไขช่องโหว่ Zero-day ที่มีระดับความรุนแรงสูง
รายละเอียดของ Zero-day
โดยปกติแล้ว Google จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Zero-day จนกว่าผู้ใช้งาน Chrome ส่วนใหญ่จะได้รับการอัปเดต
ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-2856 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง เนื่องจากเป็นช่องโหว่เรื่องการตรวจสอบอินพุตในฟีเจอร์ที่เรียกแอปพลิเคชัน และบริการเว็บโดยตรงจากหน้าเว็บเพจ
การตรวจสอบความถูกต้องของอินพุตที่ไม่เหมาะสมในซอฟต์แวร์สามารถนำไปสู่ buffer overflow , directory traversal , SQL injection , cross-site scripting, null byte injection และอื่นๆ
ช่องโหว่นี้ถูกค้นพบ และรายงานโดย Ashley Shen และ Christian Resell ซึ่งเป็นสมาชิกของ Google Threat Analysis Group (TAG)
การอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 5 นับตั้งแต่ต้นปี โดยช่องโหว่ zero-day 4 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่ :
CVE-2022-0609 - Use-after-free in Animation – February 14
CVE-2022-1096 - Type confusion in V8 – March 25
CVE-2022-1364 - Type confusion in V8 – April 14
CVE-2022-2294 - Heap buffer overflow in WebRTC – July 4
Google แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 104.0.5112.101 สำหรับ macOS และ Linux และเวอร์ชัน 104.0.5112.102/101 สำหรับ Windows เพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้นกับผู้ใช้งานเบราว์เซอร์ที่ใช้ Chromium เช่น Microsoft Edge, Brave, Opera และ Vivaldi จึงแนะนำให้ผู้ใช้งานทำการการอัปเดตเวอร์ชันก่อนการใช้งาน
ที่มา : bleepingcomputer