Google ได้เปิดตัวการอัปเดตสำหรับเว็บเบราว์เซอร์ Chrome เวอร์ชัน Windows เพื่อแก้ไขช่องโหว่ซีโร่เดย์ที่ใช้ประโยชน์จากช่องโหว่อย่างแข็งขัน
บั๊กที่มีความรุนแรงสูง ซึ่งติดตามเป็น CVE-2022-2294 ได้รับการแก้ไขแล้วด้วย Chrome เวอร์ชันล่าสุด (103.0.5060.114) รายงาน BleepingComputer
โดยปกติแล้ว Google Chrome จะอัปเดตโดยอัตโนมัติทันทีที่ผู้ใช้เปิดเบราว์เซอร์ ดังนั้นจึงเป็นไปได้ว่าการติดตั้งจำนวนมากได้รับการติดตั้งแล้ว (เปิดในแท็บใหม่) อย่างไรก็ตาม Google กล่าวว่าอาจต้องใช้เวลาหลายสัปดาห์กว่าจะแก้ไขส่วนที่เหลือ
ขาดรายละเอียด
ในขณะเดียวกัน Google กำลังซ่อนรายละเอียดเกี่ยวกับช่องโหว่และการใช้ประโยชน์จากช่องโหว่ เพื่อไม่ให้อาชญากรไซเบอร์มีความคิดใดๆ เราจะต้องรออีกสักหน่อยเพื่อเรียนรู้เพิ่มเติมเกี่ยวกับมัลแวร์ (เปิดในแท็บใหม่) ที่ใช้ในการใช้ประโยชน์จากข้อบกพร่อง
“การเข้าถึงรายละเอียดข้อบกพร่องและลิงก์อาจถูกจำกัดจนกว่าผู้ใช้ส่วนใหญ่จะได้รับการอัปเดตด้วยการแก้ไข” Google กล่าว "เรายังจะรักษาข้อจำกัดไว้ หากข้อผิดพลาดมีอยู่ในไลบรารีของบุคคลที่สามซึ่งโครงการอื่นต้องพึ่งพาในลักษณะเดียวกัน แต่ยังไม่ได้รับการแก้ไข"
เรารู้ว่าข้อบกพร่องเป็นจุดอ่อนบัฟเฟอร์ล้นที่มีความรุนแรงสูง ซึ่งค้นพบโดย Jan Vojtesek จาก Avast ในคอมโพเนนต์ WebRTC (Web Real-Time Communications)
แฮกเกอร์ที่ประสบความสำเร็จในการใช้ประโยชน์จากจุดบกพร่องนี้สามารถหยุดการทำงานของโปรแกรมและรันโค้ดตามอำเภอใจบนปลายทางที่ได้รับผลกระทบ
นี่ไม่ใช่จุดบกพร่อง Zero-day แรกที่ Google ได้แก้ไขในปีนี้ อันที่จริงแล้ว เป็นครั้งที่สี่หลังจาก CVE-2022-0609 (แก้ไขในเดือนกุมภาพันธ์), CVE-2022-1096 (แก้ไขในเดือนมีนาคม) และ CVE-2022-1364 (แก้ไขในเดือนเมษายน)
กลุ่มแรกดำเนินการโดยนักแสดงที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือ ผู้สืบสวนกล่าวในขณะนั้น
ขอแนะนำให้ผู้ดูแลระบบคอยดู Chrome และตรวจสอบให้แน่ใจว่าได้ติดตั้งโปรแกรมแก้ไขแล้ว หากเบราว์เซอร์ไม่ดำเนินการโดยอัตโนมัติ
ผ่าน BleepingComputer (เปิดในแท็บใหม่)