21 เมษายน 2566
Google ได้ประกาศอัปเดตระบบรักษาความปลอดภัยของ Chrome browser เพื่อแก้ไขช่องโหว่ Zero-day โดยช่องโหว่ดังกล่าวถูกติดตามด้วยหมายเลข CVE-2023-2033 (CVSS: 8.8) ในระดับความรุนแรงสูง ที่พบใน type confusion ในส่วนของ JavaScript engine ที่ใช้งาน Google Chrome V8 โดยผู้โจมตีมุ่งเป้าไปยังกลุ่มนักข่าว กลุ่มนักการเมืองฝ่ายค้าน และกลุ่มนักต่อต้านต่างๆ ทั่วโลก
ช่องโหว่ประเภท Confusion นั้นจะอนุญาตให้ผู้โจมตีสามารถเรียกใช้งานผ่านเบราว์เซอร์ได้ โดยการอ่านหรือเขียนค่าข้อมูลออกจากบัฟเฟอร์ อีกทั้งผู้โจมตียังสามารถเข้าถึง arbitrary code บนอุปกรณ์ที่ถูกโจมตีได้อีกด้วย อันจะส่งผลกระทบต่อระบบปฏิบัติการ Windows, Mac และ Linux
หลังจากประกาศ Update patch ไม่นาน Google ได้ประกาศช่องโหว่ที่ 2 ถูกติดตามด้วยหมายเลข CVE-2023-2136 โดยช่องโหว่ที่พบเป็นประเภท Integer Overflow เกิดขึ้นใน Skia ซึ่งเป็น 2D Graphic Library C++ ที่ใช้ในการเรนเดอร์ข้อความ, รูปภาพต่างๆ รวมถึงแอนิเมชั่นภายใน Chrome Browser ส่งผลให้ผู้โจมตีอาจทำ Arbitrary Code Execution ได้
ท้ายสุดแล้ว Google แนะนำให้อัปเดต Chrome web browser โดยทันทีเป็นเวอร์ชัน 112.0.5615.137 (Official Build) (64-bit) สามารถตรวจสอบการอัปเดตเวอร์ชันใหม่จากเมนู Chrome > ช่วยเหลือ > เกี่ยวกับ Google Chrome
เครดิต : กนิษฐา พุ่มผล
อ้างอิง : bleepingcomputer, tomsguide,
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา