Google ได้ออกการอัปเดตความปลอดภัยฉุกเฉินสำหรับ Chrome เพื่อแก้ไขปัญหา ช่องโหว่ Zero-day ครั้งที่ 3 ที่ถูกโจมตีภายในหนึ่งสัปดาห์ บริษัทรับทราบถึงการมีอยู่ของการหาประโยชน์สำหรับ CVE-2024-4947 ในป่า ตามข้อมูลของ คำแนะนำด้านความปลอดภัย ข้อบกพร่องนี้ได้รับการแก้ไขแล้วในเวอร์ชัน 125.0.6422.60/.61 สำหรับ Mac/Windows และ 125.0.6422.60 สำหรับ Linux การอัปเดตเหล่านี้จะถูกเผยแพร่ไปยังผู้ใช้ทุกคนในช่อง Stable Desktop ในอีกไม่กี่สัปดาห์ข้างหน้า
นี่คือแพตช์รักษาความปลอดภัยตัวที่สองจาก Google ในรอบหลายวัน เมื่อต้นสัปดาห์ที่ผ่านมา บริษัทได้ส่งการแก้ไขข้อบกพร่องของ Chrome ที่อาจนำไปสู่การเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต การอัปเดตนี้มีขึ้นเพื่อแก้ไขช่องโหว่แบบ Zero-day ที่มีความรุนแรงสูง ซึ่งระบุเป็น CVE-2024-4761 ซึ่งถูกโจมตีอย่างแข็งขัน
การอัปเดตอัตโนมัติและด้วยตนเอง
Chrome อัปเดตโดยอัตโนมัติเมื่อมีการแพตช์ความปลอดภัยใหม่ อย่างไรก็ตาม ผู้ใช้สามารถตรวจสอบได้ด้วยตนเองว่ากำลังใช้งานเวอร์ชันล่าสุดโดยไปที่เมนู Chrome > ความช่วยเหลือ > เกี่ยวกับ Google Chrome เมื่อการอัปเดตเสร็จสมบูรณ์ ผู้ใช้ควรคลิกปุ่ม”เปิดใหม่”เพื่อติดตั้ง BleepingComputer ยืนยันว่าการอัปเดตพร้อมใช้งานทันทีเมื่อทำเครื่องหมาย
รายละเอียดของช่องโหว่
ช่องโหว่แบบ Zero-day ที่มีความรุนแรงสูง ซึ่งระบุเป็น CVE-2024-4947 มีสาเหตุจากความสับสนประเภทจุดอ่อนใน เอ็นจิ้น Chrome V8 JavaScript ข้อบกพร่องนี้รายงานโดยนักวิจัยของ Kaspersky Vasily Berdnikov และ Boris Larin โดยทั่วไปช่องโหว่ดังกล่าวจะทำให้ผู้คุกคามสามารถทำให้เบราว์เซอร์ล่มโดยการอ่านหรือเขียนหน่วยความจำนอกขอบเขตบัฟเฟอร์ อย่างไรก็ตาม ยังสามารถนำมาใช้ประโยชน์ในการเรียกใช้โค้ดโดยอำเภอใจบนอุปกรณ์เป้าหมาย
Google ยืนยันว่ามีการใช้จุดบกพร่องนี้ในการโจมตี แต่ยังไม่ได้ให้ข้อมูลโดยละเอียดเกี่ยวกับเหตุการณ์เหล่านี้ บริษัทระบุว่าการเข้าถึงรายละเอียดข้อบกพร่องและลิงก์อาจถูกจำกัดจนกว่าผู้ใช้ส่วนใหญ่จะได้รับการแก้ไข ข้อจำกัดจะยังคงอยู่หากมีจุดบกพร่องในไลบรารีของบุคคลที่สามซึ่งโปรเจ็กต์อื่นต้องพึ่งพาและยังไม่ได้แก้ไข
มีการแก้ไข Seven Zero-Days ในปี 2024
ช่องโหว่ล่าสุดนี้ถือเป็นข้อบกพร่องแบบ Zero-day ครั้งที่ 7 ที่เกิดขึ้นใน Chrome นับตั้งแต่ต้นปี รายการศูนย์วันซึ่งได้รับการแก้ไขในปี 2024 ประกอบด้วย:
a>: ปัญหาการเข้าถึงหน่วยความจำนอกขอบเขตที่มีความรุนแรงสูงในกลไก Chrome V8 JavaScript ทำให้ผู้โจมตีระยะไกลสามารถใช้ประโยชน์จากความเสียหายของฮีปผ่านหน้า HTML ที่สร้างขึ้นเป็นพิเศษ ซึ่งนำไปสู่การเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต CVE-2024-2887: ข้อบกพร่องด้านความสับสนประเภทความรุนแรงสูงใน WebAssembly (Wasm ) มาตรฐาน ซึ่งอาจนำไปสู่การหาประโยชน์จากการประมวลผลโค้ดจากระยะไกล (RCE) ผ่านหน้า HTML ที่จัดทำขึ้น CVE-2024-2886: ช่องโหว่ที่ไร้การใช้งานบนเว็บ
