Google ได้เปิดตัวการอัปเดตความปลอดภัยฉุกเฉินสำหรับเบราว์เซอร์ Chrome เพื่อแก้ไขช่องโหว่แบบ Zero-day ที่มีความรุนแรงสูง ซึ่งระบุว่าเป็น CVE-2024-4761 ซึ่งถูกโจมตีอย่างแข็งขัน การอัปเดตนี้ตามมาอย่างใกล้ชิดหลังจากข้อบกพร่องแบบ Zero-day อีกประการหนึ่งคือ CVE-2024-4671 ซึ่งได้รับการแพตช์เมื่อสามวันก่อนหน้า และเชื่อมโยงกับปัญหาการใช้งานหลังใช้งานฟรีในองค์ประกอบ Visuals
ช่องโหว่ของกลไก JavaScript
จุดบกพร่องที่เพิ่งระบุ CVE-2024-4761 เป็นปัญหาการเขียนนอกขอบเขตที่ส่งผลต่อกลไก V8 JavaScript ของ Chrome ซึ่งมีหน้าที่รับผิดชอบในการรันโค้ด JavaScript ภายในเบราว์เซอร์ ข้อผิดพลาดในการเขียนนอกขอบเขตเกิดขึ้นเมื่อโปรแกรมเขียนข้อมูลนอกบัฟเฟอร์หน่วยความจำที่จัดสรร ซึ่งอาจนำไปสู่การเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต การเรียกใช้โค้ดโดยอำเภอใจ หรือระบบล่ม Google ได้ยืนยันการมีอยู่ของการใช้ประโยชน์จากช่องโหว่นี้ในป่า
รายละเอียดการอัปเดตและคำแนะนำสำหรับผู้ใช้
ข้อบกพร่องด้านความปลอดภัยได้รับการแก้ไขแล้วในการเปิดตัว ของ Chrome เวอร์ชัน 124.0.6367.207/.208 สำหรับ Mac และ Windows และ 124.0.6367.207 สำหรับ Linux การอัปเดตเหล่านี้จะถูกเผยแพร่ไปยังผู้ใช้ทุกคนในอีกไม่กี่วันหรือสัปดาห์ข้างหน้า สำหรับผู้ที่ใช้เวอร์ชัน’Extensed Stable‘การแก้ไขจะรวมอยู่ในเวอร์ชัน 124.0.6367.207 สำหรับทั้ง Mac และ Windows โดยทั่วไปแล้ว Chrome จะอัปเดตโดยอัตโนมัติเมื่อมีแพตช์รักษาความปลอดภัยใหม่ แต่ผู้ใช้สามารถตรวจสอบได้ด้วยตนเองว่ากำลังใช้งานเวอร์ชันล่าสุดโดยไปที่ การตั้งค่า > เกี่ยวกับ Chrome อนุญาตให้การอัปเดตเสร็จสมบูรณ์ จากนั้นคลิกปุ่ม’เปิดใช้งานใหม่‘เพื่อใช้งาน
ภาพรวมของช่องโหว่ Zero-Day ปี 2024
ปัญหาด้านความปลอดภัยล่าสุดนี้ถือเป็นช่องโหว่ Zero-Day ครั้งที่หกใน Chrome ที่ถูกค้นพบและแก้ไขใน พ.ศ. 2567 ข้อบกพร่องนี้รายงานโดยนักวิจัยนิรนามเมื่อวันที่ 9 พฤษภาคม พ.ศ. 2567 Google ระบุว่าข้อมูลโดยละเอียดเกี่ยวกับจุดบกพร่องและลิงก์ที่เกี่ยวข้องอาจถูกจำกัดไว้จนกว่าผู้ใช้ส่วนใหญ่จะได้รับการอัปเดต ข้อจำกัดจะยังคงมีอยู่หากมีช่องโหว่อยู่ในไลบรารีของบุคคลที่สามซึ่งโครงการอื่นต้องพึ่งพาแต่ยังไม่ได้แก้ไข
ช่องโหว่แบบ Zero-day ที่ได้รับการแก้ไขก่อนหน้านี้ใน Chrome ในปีนี้ ได้แก่:
CVE-2024-0519: ปัญหาการเข้าถึงหน่วยความจำนอกขอบเขต ในเอ็นจิ้น V8 JavaScript ช่วยให้ผู้โจมตีระยะไกลสามารถใช้ประโยชน์จากความเสียหายของฮีปผ่านหน้า HTML ที่สร้างขึ้นเป็นพิเศษ ซึ่งนำไปสู่การเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต CVE-2024-2887: ข้อบกพร่องที่มีความรุนแรงสูงที่อนุญาต ผู้โจมตีสามารถรันโค้ดโดยอำเภอใจโดยใช้ประโยชน์จากปัญหาหน่วยความจำเสียหาย
หากต้องการดูข้อมูลเพิ่มเติม โปรดไปที่หน้าการรักษาความปลอดภัยของ Chrome หากคุณสนใจที่จะเปลี่ยนช่องทางการเผยแพร่ สามารถดูข้อมูลเพิ่มเติมได้ที่เว็บไซต์ Chromium หากคุณพบปัญหาใหม่ คุณสามารถยื่นรายงานข้อบกพร่องหรือขอความช่วยเหลือผ่านฟอรัมช่วยเหลือของชุมชน
