ผู้เชี่ยวชาญให้รายละเอียดเกี่ยวกับช่องโหว่ RCE ใหม่ที่ส่งผลกระทบต่อ Google Chrome  

มีการเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ Remote Code Execution ที่พึ่งได้รับการแก้ไขใน V8 JavaScript และ WebAssembly engine ที่ใช้ในเบราว์เซอร์ Google Chrome และ Chromium  

ช่องโหว่ Use-after-free จะเกิดขึ้นเมื่อมีการเข้าถึงหน่วยความจำ ทำให้เกิดการทำงานที่ผิดปกติ เช่น ทำให้โปรแกรมหยุดทำงาน เกิดความเสียหายต่อข้อมูล หรือ เกิดได้โจมตีแบบ Arbitrary Code Execution (ACE)  
โดยช่องโหว่ดังกล่าวสามารถถูกโจมตีจากระยะไกลผ่านเว็บไซต์ที่ออกแบบมาเป็นพิเศษ เพื่อ Bypass ระบบรักษาความปลอดภัย และ เรียกใช้โค้ดได้ตามที่ต้องการ เพื่อ Compromise กับระบบผู้ที่ตกเป็นเป้าหมาย นอกจากนี้ Google  ยังไม่ได้กำหนดรหัส CVE สำหรับช่องโหว่นี้  

ช่องโหว่ดังกล่าวยังทำให้ผู้ไม่ประสงค์ดีทำการโจมตีได้โดยการใช้เทคนิคแบบ Heap Spraying เป็นเทคนิคที่ 
ใช้ในการหาช่องโหว่เพื่อรันคำสั่งที่เป็นอันตราย ซึ่งจะนำไปสู่การเกิดช่องโหว่ Type Confusion ที่ทำให้ผู้ไม่ประสงค์ดีสามารถควบคุมฟังก์ชัน หรือ เขียนโค้ดลงไปยังตำแหน่งต่าง ๆ ในหน่วยความจำ 

Ref : https://thehackernews.com/2022/05/experts-detail-new-rce-vulnerability.html 

Share