Google ได้ออกแพตซ์อัปเดตบน Chrome เวอร์ชัน 103.0.5060.114 สำหรับผู้ใช้ Windows เพื่อแก้ไขช่องโหว่ Zero-day ที่มีระดับความรุนแรงสูง ซึ่งเป็น Zero-day ตัวที่ 4 ในปี 2565
ปัจจุบัน Chrome เวอร์ชัน 103.0.5060.114 มีการอัปเดตโดยอัตโนมัติเรียบร้อยแล้ว โดย Google ระบุว่าอาจต้องใช้เวลาหลายวัน หรือหลายสัปดาห์กว่ากลุ่มผู้ใช้งานจะสามารถอัปเดตได้ครบทั้งหมด BleepingComputer ทำการตรวจสอบการอัปเดตโดยไปที่เมนู Chrome menu > Help > About Google Chrome เว็บเบราว์เซอร์จะตรวจสอบการอัปเดตใหม่ และติดตั้งโดยอัตโนมัติ
รายละเอียดการโจมตียังไม่ได้มีการเปิดเผย
ช่องโหว่ zero-day ที่ได้รับการแก้ไขในวันนี้ (CVE-2022-2294) เป็นช่องโหว่ heap-based buffer overflow ที่มีความรุนแรงสูงใน WebRTC (Web Real-Time Communications) ถูกรายงานโดย Jan Vojtesek จากทีม Avast Threat Intelligence เมื่อวันศุกร์ที่ 1 กรกฎาคม 2565
ผลกระทบจากช่องโหว่ heap overflow อาจทำให้เกิดการหยุดการทำงานของโปรแกรม และการถูกสั่งรันโค้ดที่เป็นอันตราย ไปจนถึงการหลีกเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัยหากมีการเรียกใช้โค้ดที่เป็นอันตรายระหว่างการโจมตี แม้ว่า Google จะบอกว่าช่องโหว่ zero-day นี้เริ่มถูกใช้ในการโจมตีแล้วในปัจจุบัน แต่ก็ยังไม่ได้เปิดเผยรายละเอียดทางเทคนิค หรือข้อมูลใดๆ Google ระบุว่า “รายละเอียดช่องโหว่จะยังไม่ถูกเปิดเผยจนกว่าผู้ใช้ส่วนใหญ่จะได้รับการอัปเดต"
การแก้ไขช่องโหว่ zero-day ของ Chrome ครั้งที่ 4 ในปีนี้
การอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 4 นับตั้งแต่ต้นปี โดยช่องโหว่ zero-day 3 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่:
CVE-2022-1364 - April 14th
CVE-2022-1096 - March 25th
CVE-2022-0609 - February 14th
ช่องโหว่ที่ได้รับการแก้ไขในเดือนกุมภาพันธ์ CVE-2022-0609 ถูกใช้โดยแฮ็กเกอร์ที่ได้รับการสนับสนุนจากเกาหลีเหนือหลายสัปดาห์ก่อนที่จะมีแพตช์อัปเดตออกมาในเดือนกุมภาพันธ์ ตามรายงานของ Google Threat Analysis Group (TAG) โดยการโจมตีครั้งแรกถูกพบเมื่อวันที่ 4 มกราคม พ.ศ. 2565
ที่มา : bleepingcomputer