รีบแพ็ตช์ Chrome ทันที! ก่อนจะโดนช่องโหว่เล่นงาน

เมื่อวันอังคารที่ผ่านมา กูเกิ้ลได้ปล่อยตัวอัพเดทสำหรับเว็บบราวเซอร์ Chrome ทั้งบนวินโดวส์ แมค และลีนุกซ์ ซึ่งเป็นการแก้ไขปัญหาด้านความปลอดภัย 7 รายการ และมีรายการหนึ่งที่เป็นช่องโหว่ที่ถูกนำไปใช้โจมตีในวงกว้างมาก่อนหน้าแล้วด้วย

ช่องโหว่นี้อยู่ภายใต้รหัส CVE-2021-21224 เกิดจากปัญหาการจัดประเภทข้อมูลบนเอนจิ้นจาวาสคริปต์แบบโอเพ่นซอร์สอย่าง V8 ที่ทางนักวิจัยด้านความปลอดภัย Jose Martinez ได้รายงานให้ทางกูเกิ้ลทราบไปตั้งแต่วันที่ 5 เมษายน

ทางนักวิจัยด้านความปลอดภัยอีกท่านหนึ่ง Lei Cao กล่าวว่าบั๊กนี้จะแสดงอาการเมื่อมีการแปลงประเภทข้อมูลแบบ Integer ทำให้เกิดสภาวะนอกเหนือจากขอบเขตที่มีกำหนดไว้ ซึ่งอาจถูกใช้ในการโจมตีหน่วยความจำด้วยข้อมูลทั้งฝั่ง Read/Write ได้

ทางผู้จัดการโครงการด้านเทคนิคของ Chrome เองอย่าง Srinivas Sista ก็โพสต์บล็อกว่า กูเกิ้ลรับทราบรายงานที่ว่าช่องโหว่ CVE-2021-21224 มีการใช้ประโยชน์ในการโจมตีในวงกว้างมาก่อนหน้านี้แล้ว ทั้งนี้ตัวอัพเดทออกมาภายหลังมีการเผยแพร่โค้ดจำลองการโจมตีจริงหรือ PoC ออกมาด้วย

ที่มา : THN

from:https://www.enterpriseitpro.net/%e0%b8%a3%e0%b8%b5%e0%b8%9a%e0%b9%81%e0%b8%9e%e0%b9%87%e0%b8%95%e0%b8%8a%e0%b9%8c-chrome-%e0%b8%97%e0%b8%b1%e0%b8%99%e0%b8%97%e0%b8%b5-%e0%b8%81%e0%b9%88%e0%b8%ad%e0%b8%99%e0%b8%88%e0%b8%b0%e0%b9%82/