หากคุณใช้ Google Chrome ช่องโหว่แบบ Zero-day ในพอร์ทัลหมายความว่าคุณควรอัปเดตทันที

สรุปข่าวNov 13, 2023

ช่องโหว่แบบ Zero-day ในพอร์ทัลของ Google Chrome หมายความว่าคุณควรอัปเดตทันที เนื่องจากช่องโหว่ดังกล่าวถูกโจมตีอย่างแพร่หลาย

หากคุณใช้ Google Chrome คุณควรอัปเดตทันที ข้อบกพร่องด้านความปลอดภัยแบบ Zero-day ได้รับการแก้ไขโดยเป็นส่วนหนึ่งของ Chrome 94.0.4606.61 ซึ่งเผยแพร่เป็นการอัปเดตฉุกเฉินสำหรับ Windows, Mac และ Linux การใช้ประโยชน์ดังกล่าวได้รับการกำหนดให้เป็น CVE ID CVE-2021-37973 แม้ว่าบริษัทจะระงับข้อมูลเกี่ยวกับการใช้ประโยชน์ดังกล่าวจนกว่าผู้ใช้ส่วนใหญ่จะอัปเดต ขณะนี้การอัปเดตกำลังเปิดตัวในเวอร์ชันเสถียร และผู้ใช้ควรอัปเดตโดยเร็วที่สุด หากต้องการตรวจสอบเวอร์ชัน Chrome ของคุณ ให้คลิกเมนูรายการเพิ่มเติมที่ด้านบนขวา ไปที่ "เพิ่มเติม" แล้วคลิก "ช่วยเหลือ" โดยจะแจ้งเวอร์ชัน Chrome ที่คุณติดตั้งไว้ และจะติดตั้งเวอร์ชันล่าสุดที่คุณสามารถใช้ได้ด้วย

ใน ออกคำแนะนำด้านความปลอดภัยแล้ว โดยบริษัท (ผ่าน Bleepingคอมพิวเตอร์)โดยระบุว่า "Google ทราบดีว่ามีการใช้ประโยชน์จาก CVE-2021-37973 อยู่ในระบบ" Google บอกว่านี่คือ "ใช้หลังจากฟรี“โจมตีเข้ามา. พอร์ทัลซึ่งหมายความว่าจุดบกพร่องในพอร์ทัลทำให้หน่วยความจำที่ว่างยังคงสามารถอ้างอิงได้ สิ่งนี้สามารถนำไปสู่พฤติกรรมที่ไม่คาดคิดและอาจนำไปสู่การใช้ประโยชน์จากเบราว์เซอร์ในสภาวะที่เหมาะสมสำหรับผู้โจมตี พอร์ทัลเป็นฟีเจอร์ที่บริษัทเริ่มทดสอบในปี 2019 และใช้สำหรับฝังและเปลี่ยนผ่านระหว่างเพจได้อย่างราบรื่น

ข้อบกพร่องด้านความปลอดภัยแบบ Zero-day ที่ได้รับการแก้ไขในวันนี้ได้รับการรายงานในวันที่เผยแพร่ Google Chrome 94 เวอร์ชันเสถียรครั้งแรกในวันที่ 21 กันยายน ค้นพบโดย Clément Lecigne จาก Google TAG โดยได้รับความช่วยเหลือจาก Sergei Glazunov และ Mark Brand จาก Google Project Zero Project Zero เป็นแผนกรักษาความปลอดภัยที่ Google ว่าจ้าง ซึ่งก่อตั้งขึ้นในปี 2014 ภารกิจหลักของทีมคือการค้นหาช่องโหว่แบบ Zero-day นั่นคือช่องโหว่ที่ฝ่ายที่ไม่รู้จัก (หรือไม่ได้รับการแก้ไข) ที่ควรสนใจในการบรรเทาผลกระทบ “เลือดหัวใจ” คือ หนึ่งวันดังกล่าว การใช้ประโยชน์ซึ่งได้รับการรายงานเป็นการส่วนตัวโดยทีมรักษาความปลอดภัยสองทีมที่แยกจากกันไปยัง OpenSSL หนึ่งในทีมรักษาความปลอดภัยเหล่านี้ดำเนินงานภายใต้ Google และนำไปสู่การสร้าง Project Zero ในที่สุด

เนื่องจากข้อผิดพลาดนี้ได้รับการเปิดเผยโดย Google ทำให้เกิดช่องโหว่แบบ Zero-day มากถึง 11 รายการที่พบใน Google Chrome ในปี 2564