Google เปิดตัว Chrome เวอร์ชันใหม่เเก้ไขช่องโหว่ RCE แบบ Zero-day

Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.183 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 10 รายการรวมถึงช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Rmote Code Execution - RCE) แบบ Zero-day หลังพบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ช่องโหว่ CVE-2020-16009 เป็นช่องโหว่ในการใช้งานที่ไม่เหมาะสมใน V8 ซึ่งเป็นเอ็นจิ้น JavaScript โอเพ่นซอร์สของ Chrome ซึ่งจะทำให้ผู้โจมตีสามารถดำเนินการเรียกใช้โค้ดจากระยะไกลได้ผ่านหน้า HTML ที่สร้างขึ้นมาเป็นพิเศษ นอกจากนี้ Google ยังแก้ไขช่องโหว่ CVE-2020-17087 ช่องโหว่การยกระดับสิทธ์ในเคอร์เนล, CVE-2020-16004, CVE-2020-16005, CVE-2020-16006, CVE-2020-16007, CVE-2020-16008 และ CVE-2020-16011 ใน Chrome เวอร์ชัน 86.0.4240.183

ทั้งนี้ผู้ใช้ควรทำการอัปเดต Google Chrome เป็นเวอร์ชัน 86.0.4240.183 หรือเวอร์ชันใหม่ล่าสุด โดยเข้าไปที่การตั้งค่า -> ความช่วยเหลือ -> เกี่ยวกับ Google Chrome จากนั้นเว็บเบราว์เซอร์จะทำการตรวจสอบการอัปเดตใหม่โดยอัตโนมัติและติดตั้งเมื่อพร้อมใช้งาน

ที่มา: bleepingcomputer

Google Patches Chrome Browser Zero-Day Bug, Under Attack

Chrome ออกแพตช์อุตช่องโหว่ 0 Day

หลังจากออก Chrome รุ่น 80 ไม่นาน ก็มีการออกรุ่น 80.0.3987.122 ตามมาทันที โดยเป็นการแก้ไขช่องโหว่ทั้งหมด 3 ช่องโหว่ เป็นความรุนแรง High ทั้งหมด โดยช่องโหว่ที่สำคัญคือ CVE-2020-6418 เป็นช่องโหว่ type of confusion bug กระทบทุกรุ่นจนกระทั่งรุ่น 80.0.3987.122 เป็นช่องโหว่ใน JavaScript และ Web Assembly engine ที่ชื่อว่า V8

ในปัจจุบันมีการโจมตีช่องโหว่นี้เกิดขึ้นแล้ว ผู้ใช้งานควรทำการ Update Chrome เป็นรุ่น 80.0.3987.122

ที่มา : threatpost