chrome

เมื่อวันอังคารที่ 20 เมษายน 2564 ทาง Google ได้มีการอัปเดต เว็บเบราว์เซอร์ Chromeสำหรับ Windows, Mac และ Linux โดยมีการแก้ไขช่องโหว่ด้านความมั่นคงปลอดภัยทั้งหมด 7 รายการ

อ้างอิงช่องโหว่หมายเลข CVE-2021-21224 บน JavaScript Engines V8 ที่ถูกค้นพบโดย Mr. Jose Martinez นักวิจัยด้านความปลอดภัยเมื่อวันที่ 5 เมษายน

โดยเจ้าตัว JavaScript Engines หากจะพูดให้เข้าใจได้ง่ายขึ้นก็เหมือนกับ ล่ามที่ทำหน้าที่แปลภาษาให้เราสามารถติดต่อกับใครบางคนที่ไม่เข้าใจภาษาของเราได้นั่นแหละ ซึ่งปัจจุบันเรามี JavaScript Engines มากมาย ซึ่งเรียกว่า ECMAScript Engines

 

โดย ECMAScripts Engines  บางตัวเราก็รู้จักกันอยู่แล้ว เช่น

– V8 ที่ใช้ใน Google Chrome
– SpiderMonkey ที่ใช้ใน Firefox
– หรือ Chakra ที่ใช้ใน Edge

อ้างอิง www.thamonwan.top

Mrs. Lei Cao นักวิจัยด้านความมั่นคงปลอดภัยบนระบบสารสนเทศกล่าวว่าข้อบกพร่อง [1195777] ดังกล่าวได้อาศัยเทคนิค Buffer Overflow แล้วส่งผลให้เกิดเงื่อนไขนอกขอบเขตที่สามารถอนุญาตให้ผู้ไม่ประสงค์ดีจากระยะไกลเรียกใช้รหัสโดยพลการภายในแซนด์บ็อกซ์ผ่านทางเพจ HTML ที่สร้างขึ้นได้

โดยเจ้าตัว แซนด์บ็อกซ์ เนี่ย คือ พื้นที่ของหน่วยความจำและหน่วยประมวลผลเสมือนที่จำกัด ใช้รันโปรแกรมแยกต่างหาก ออกจากส่วนพื้นที่ปกติ ซึ่งเป็นกลไกของความปลอดภัยในการรันโปรแกรมหรือการทดสอบโปรแกรมที่อาจมีความเสี่ยง เช่น เสี่ยงแพร่กระจายไวรัส แต่เมื่อรันใน แซนด์บ็อกซ์ ไวรัสจะถูกจำกัดอยู่ในนั้นโดยไม่สามารถแพร่กระจายออกไปส่วนอื่นๆ ได้

โดยทาง Google ได้ทราบถึงรายงานที่มีการหาประโยชน์จากช่องโหว่หมายเลข CVE-2021-21224 ซึ่งผู้จัดการโปรแกรมด้านเทคนิคของ Chrome ชื่อ Srinivas Sista ได้กล่าวไว้ในบล็อกโพสต์

อ้างอิง chromereleases.googleblog.com

และการอัพเดตนี้ได้เกิดขึ้นหลังจากการทดสอบความเป็นไปได้ (PoC) ซึ่งใช้ประโยชน์จากข้อบกพร่องดังกล่าวที่เคยเผยแพร่โดยนักวิจัยชื่อ ” frust ” เมื่อวันที่ 14 เมษายน 2564 โดยใช้ประโยชน์จากข้อเท็จจริงที่ว่า ปัญหาได้รับการแก้ไขใน JavaScript Engines V8 แต่การอัปเดตไม่ได้ รวมอยู่ใน Chromium codebase และเบราว์เซอร์ทั้งหมดที่ต้องใช้ เช่น Chrome, Microsoft Edge, Brave, Vivaldi และ Opera

ช่องโหว่ของโปรแกรมได้ถูกแก้ไขภายใน 1 สัปดาห์หมายความว่าเบราว์เซอร์จะมีความเสี่ยงต่อการถูกโจมตีจนกว่าจะได้รับการอัพเดตจากเจ้าของผลิตภัณฑ์

จากเดิม Chrome 76 ใช้เวลา 33 วัน ในการแก้ไข หลังจากได้อัปเดตเวอร์ชั่นเป็น Chrome 78  ใช้เวลาเพียงแค่ 15 วัน เท่านั้น เป็นที่น่าสังเกตว่า Google ลดระยะเวลาลงครึ่งหนึ่ง ในการแก้ไขช่องโหว่ร้ายแรง

ล่าสุดได้มีการการอัปเดตใหญ่เมื่อวันอังคารที่ 20 เมษายน 2564 ช่องโหว่ด้านความมั่นคงปลอดภัย ได้แก่ CVE-2021-21206 และ CVE-2021-21220 ซึ่งแสดงให้เห็นในงานการแข่งชันการแฮ็กชื่อ Pwn2Own 2021 เมื่อ วันที่ 6 เมษายน 2564 ที่ผ่านมา

อย่างไรก็ตาม Chrome 90.0.4430.85 คาดว่าจะทำการปล่อยแพตช์อัปเดตในอีกไม่กี่วันข้างหน้า ผู้ใช้สามารถอัปเดตเป็นเวอร์ชันล่าสุดได้โดยไปที่การตั้งค่า> ความช่วยเหลือ> เกี่ยวกับ Google Chrome เพื่อลดความเสี่ยงที่เกี่ยวข้องกับข้อบกพร่อง

 

อ้างอิง :

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 28 เมษายน 2564