Chrome ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความรุนแรง
สรุปข้อมูล
Google ได้ปล่อยอัปเดตเร่งด่วนสำหรับเบราว์เซอร์ Chrome เพื่อแก้ไขช่องโหว่ความปลอดภัยระดับรุนแรงสองรายการที่อาจทำให้ผู้โจมตีสามารถควบคุมระบบของผู้ใช้ได้ ช่องโหว่เหล่านี้ระบุเป็น CVE-2024-10487 และ CVE-2024-10488 ซึ่งส่งผลกระทบต่อ Chrome บนแพลตฟอร์ม Windows, Mac และ Linux
รายละเอียดช่องโหว่
CVE-2024-10487: Out of Bounds Write in Dawn
- ประเภทช่องโหว่: Out of Bounds Write
- ส่วนที่ได้รับผลกระทบ: Dawn graphics library
- รายละเอียดทางเทคนิค:
- การโจมตีแบบ "Out of Bounds Write" เกิดขึ้นเมื่อโปรแกรมเขียนข้อมูลลงในตำแหน่งหน่วยความจำที่อยู่ นอกเหนือขอบเขตที่กำหนดไว้ เช่น การจัดเก็บข้อมูลในพื้นที่ที่มีขนาดเล็กกว่าความจุจริง ทำให้การเขียนข้อมูลเกินพื้นที่จำกัดนี้อาจทำให้ข้อมูลในตำแหน่งหน่วยความจำอื่นเสียหายได้ ซึ่งเปิดโอกาสให้ผู้โจมตีเปลี่ยนแปลงหน่วยความจำหรือใช้เป็นช่องทางในการเรียกใช้โค้ดอันตราย
- ช่องโหว่นี้อาจนำไปสู่การควบคุมการทำงานของอุปกรณ์ของเหยื่อโดยตรง ซึ่งหมายความว่าผู้โจมตีสามารถรันคำสั่งหรือโปรแกรมใด ๆ บนอุปกรณ์ได้
CVE-2024-10488: Use After Free in WebRTC
- ประเภทช่องโหว่: Use After Free
- ส่วนที่ได้รับผลกระทบ: WebRTC (เทคโนโลยีการสื่อสารแบบเรียลไทม์)
- รายละเอียดทางเทคนิค:
- ช่องโหว่ Use After Free เกิดจากการที่โปรแกรมยังคงเรียกใช้งานหน่วยความจำที่ถูกปล่อยคืนไปแล้ว ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงหรือควบคุมหน่วยความจำนั้นได้
- ในกรณีนี้ ช่องโหว่เกิดใน WebRTC ซึ่งเป็นส่วนประกอบที่ใช้สำหรับการสื่อสารผ่านเบราว์เซอร์แบบเรียลไทม์ เช่น การโทรวิดีโอหรือการสื่อสารผ่านเสียง
- ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อให้โปรแกรมเรียกใช้งานหน่วยความจำที่ว่างเปล่า และแทรกโค้ดที่เป็นอันตราย เข้าไปในพื้นที่นั้น ซึ่งอาจทำให้เกิดการแครชหรือเรียกใช้งานโค้ดที่ไม่พึงประสงค์ได้
โดยวิธีแก้ปัญหาช่องโหว่ด้วยการอัปเดต Chrome เป็นเวอร์ชัน 130.0.6723.91/.92 สำหรับ Windows และ Mac หรือ 130.0.6723.91 สำหรับ Linux
ผลกระทบจากการโจมตี
ช่องโหว่ CVE-2024-10487 ใน Dawn graphics library ช่วยให้ผู้โจมตีสามารถรันโค้ดอันตรายบนระบบของเหยื่อ ทำให้สามารถควบคุมอุปกรณ์ได้เต็มรูปแบบ พร้อมทั้งมีโอกาสดัดแปลงหรือทำลายข้อมูลในหน่วยความจำ และอาจฝังมัลแวร์ เช่น Ransomware หรือ Spyware เพื่อขโมยข้อมูลส่วนตัวได้ ส่วนช่องโหว่ CVE-2024-10488 ใน WebRTC ทำให้เกิดปัญหา Use After Free ซึ่งอาจทำให้เบราว์เซอร์แครชบ่อยครั้ง และเปิดช่องให้ผู้โจมตีเข้าถึงข้อมูลในหน่วยความจำที่ถูกปล่อย เช่น คุกกี้ การตั้งค่า และข้อมูลส่วนตัวในเบราว์เซอร์ ทั้งยังสามารถใช้รันโค้ดอันตรายเพื่อเข้าควบคุมบางส่วนของอุปกรณ์ในบางกรณี
คำแนะนำ
- ระบบปฎิบัติการ Windows และ Mac อัปเดต Chrome เป็นเวอร์ชัน 130.0.6723.91 หรือ 130.0.6723.92 สำหรับการป้องกันช่องโหว่
- ระบบปฎิบัติการ Linux อัปเดต Chrome เป็นเวอร์ชัน 130.0.6723.91 สำหรับการป้องกันช่องโหว่
แหล่งอ้างอิง
