22 สิงหาคม 2024
ข้อบกพร่องที่มีความรุนแรงสูงในเบราว์เซอร์ Chrome ของ Google ซึ่งถูกนำไปใช้ประโยชน์อย่างแข็งขัน ได้รับการแก้ไขโดยการอัปเดตความปลอดภัยที่เพิ่งเปิดตัวโดยบริษัท ช่องโหว่ CVE-2024-7971 ถูกพบว่าเป็นปัญหาความสับสนด้านประเภทในกลไก V8 JavaScript และ WebAssembly
ฐานข้อมูลช่องโหว่แห่งชาติ (NVD) ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) รายงาน ที่พิมพ์ความสับสนใน V8 ก่อนเวอร์ชัน 128.0.6613.84 ของ Google Chrome ผู้โจมตีระยะไกลสามารถใช้ประโยชน์จากความเสียหายของฮีปผ่านหน้า HTML ที่สร้างขึ้นเป็นพิเศษ
เมื่อวันที่ 19 สิงหาคม 2024 ข้อบกพร่องดังกล่าวถูกค้นพบและรายงานโดย Microsoft Threat Intelligence Center (MSTIC) และ Microsoft Security Response Center (MSRC) อย่างไรก็ตาม รายละเอียดเฉพาะเกี่ยวกับการโจมตีที่ใช้ข้อบกพร่องนี้หรือตัวตนของผู้คุกคามยังไม่ได้รับการเปิดเผย Google ให้ความสำคัญเพื่อให้แน่ใจว่าผู้ใช้ส่วนใหญ่ได้อัปเดตเบราว์เซอร์ของตนด้วยการแก้ไขแล้ว
Google รับทราบ ทราบถึงการใช้ประโยชน์จาก CVE-2024-7971 ในข้อความสั้นๆ ซึ่งก็คือ ปัจจุบันมีการใช้งานอยู่ในป่า นี่เป็นกรณีที่สามของช่องโหว่ประเภทสับสนใน V8 ที่ Google ได้แก้ไขในปีนี้ โดยช่องโหว่ก่อนหน้านี้คือ CVE-2024-4947 และ CVE-2024-5274
โดยรวมแล้ว Google ได้รับทราบถึงช่องโหว่แบบ Zero-day จำนวน 9 รายการใน Chrome นับตั้งแต่ต้นปี 2567 รวมถึงช่องโหว่ 3 รายการที่แสดงที่ Pwn2Own 2567:
- CVE-2024-0519: การเข้าถึงหน่วยความจำนอกขอบเขตใน V8
- CVE-2024-2886: ใช้งานได้ฟรีใน WebCodecs (สาธิตที่ Pwn2Own 2024)
- CVE-2024-2887: พิมพ์สับสนใน WebAssembly (สาธิตที่ Pwn2Own 2024)
- CVE-2024-3159: การเข้าถึงหน่วยความจำนอกขอบเขตใน V8 (สาธิตที่ Pwn2Own 2024)
- CVE-2024-4671: ใช้งานได้ฟรีในภาพ
- CVE-2024-4761: การเขียนนอกขอบเขตใน V8
- CVE-2024-4947: พิมพ์สับสนใน V8
- CVE-2024-5274: พิมพ์สับสนใน V8
ขอแนะนำให้ผู้ใช้อัปเดตเบราว์เซอร์ Chrome เป็นเวอร์ชัน 128.0.6613.84/.85 สำหรับ Windows และ macOS และเวอร์ชัน 128.0.6613.84 สำหรับ Linux เพื่อลดความเสี่ยงที่อาจเกิดขึ้น สิ่งนี้ใช้ได้กับผู้ที่ใช้เบราว์เซอร์ที่ใช้ Chromium เช่น Microsoft Edge, Brave, Opera และ Vivaldi เช่นกัน และควรใช้การอัปเดตทันทีที่พร้อมใช้งาน