Google ได้ออกอัปเดตสำหรับช่องโหว่ Zero-day ที่มีความรุนแรงสูงหรือที่เรียกว่า CVE-2022-4135 ซึ่งส่งผลกระทบต่อเบราว์เซอร์ Chrome
ยักษ์ใหญ่ด้านการค้นหากล่าวว่ามีการใช้ประโยชน์จากช่องโหว่นี้ ซึ่งตรวจพบโดยนักวิจัยด้านความปลอดภัยชาวฝรั่งเศส Clément Lecigne ซึ่งหมายความว่าผู้ใช้อาจตกอยู่ในความเสี่ยง
Google กล่าวว่าจะไม่เปิดเผยข้อมูลมากนักเกี่ยวกับลักษณะของช่องโหว่ "จนกว่าผู้ใช้ส่วนใหญ่จะได้รับการอัปเดตด้วยการแก้ไข" และ "จะคงข้อ จำกัด ไว้หากมีข้อผิดพลาดอยู่ในไลบรารีของบุคคลที่สามที่ผู้อื่นต้องพึ่งพา" ในทำนองเดียวกัน "เปิดใช้งานแล้ว แต่ยังไม่ได้รับการแก้ไข"
แล้วเรารู้อะไรไหม?
Google สามารถเปิดเผยได้ว่าช่องโหว่ดังกล่าวเป็นตัวอย่างหนึ่งของสิ่งที่เรียกว่า "ฮีปบัฟเฟอร์ล้น" ซึ่งเป็นบัฟเฟอร์ล้นที่หลากหลาย โดยที่บัฟเฟอร์ที่เสี่ยงต่อการเขียนทับนั้นอยู่ในส่วน "ฮีป" ของหน่วยความจำระบบ
การเปิดเผยเพิ่มเติมสามารถ "เตือน" ผู้ไม่ประสงค์ดีถึงช่องโหว่ก่อนที่ผู้ใช้ Google Chrome ส่วนใหญ่จะได้รับการแก้ไขอย่างสมบูรณ์
ผู้ใช้ที่ต้องการหลีกเลี่ยงความเสี่ยงที่จะได้รับผลกระทบควรอัปเดตเป็น 107.0.5304.121 สำหรับ Mac และ Linux และ 107.0.5304.121/.122 สำหรับ Windows ซึ่งทั้งสองเวอร์ชันจะเปิดตัวในอีกไม่กี่วันข้างหน้า
Chrome เบราว์เซอร์เรือธงของ Google ได้เพิ่มช่องโหว่ด้านความปลอดภัยจำนวนมากในช่วงไม่กี่ปีที่ผ่านมา
ปัจจุบันเบราว์เซอร์อ้างว่ามีส่วนแบ่งการตลาดประมาณ 66% ตามข้อมูลของ StatCounter (เปิดในแท็บใหม่) และพบช่องโหว่ 303 รายการระหว่างวันที่ 1 มกราคม 2022 ถึง 5 ตุลาคม 2022 ตามข้อมูลจาก
ในทางตรงกันข้าม Safari มีการเปิดเผยช่องโหว่เพียง 26 รายการในช่วงเวลาเดียวกัน ขณะที่ Microsoft Edge มีช่องโหว่ 103 รายการ และ Mozilla Firefox ตามมาเป็นอันดับสองด้วยช่องโหว่ 117 รายการ
ซึ่งรวมถึงช่องโหว่แบบ Zero-day ที่เรียกว่า CVE-2022-3723 ที่ถูกค้นพบเมื่อต้นเดือนนี้ ซึ่งเห็นได้ชัดว่าแสดงถึง "ความเข้าใจผิดประเภท" ที่ส่งผลต่อกลไก V8 JavaScript ของ Chrome
ตามรายงานของบริษัทรักษาความปลอดภัยทางไซเบอร์ Avertium ช่องโหว่นี้อาจทำให้ผู้ไม่ประสงค์ดีสามารถหลอกให้ Chrome เรียกใช้มัลแวร์ที่เป็นอันตรายได้