Google ได้เปิดตัวการอัปเดตความปลอดภัย เพื่อแก้ไขปัญหาด้านความปลอดภัยในเบราว์เซอร์ Chrome
รวมถึง Zero-day ที่มีการถูกใช้ประโยชน์จากผู้ไม่ประสงค์ดี ซึ่งช่องโหว่ที่มีความรุนแรงสูงนี้ถูกติดตามในชื่อ
CVE-2023-6345 และเป็นช่องโหว่ใน Skia ซึ่งเป็นไลบรารีกราฟิก 2D แบบโอเพ่นซอร์ส
บริษัทค้นหายักษ์ใหญ่ยอมรับว่า มีการใช้ประโยชน์จาก CVE-2023-6345 แต่ไม่ได้แบ่งปันข้อมูลเพิ่มเติมเกี่ยวกับลักษณะของการโจมตี ซึ่ง Google ได้เปิดตัวแพทช์สำหรับช่องโหว่การรั่วไหลที่คล้ายกันในองค์ประกอบเดียวกัน (CVE-2023-2136) โดยช่องโหว่นี้ถูกใช้งานในรูปแบบของ Zero-day ซึ่งเพิ่มความเป็นไปได้ที่
CVE-2023-6345 อาจเป็นแพตช์บายพาส และยังมีการกล่าวว่า CVE-2023-2136 จะอนุญาตให้ผู้โจมตีระยะไกลที่เป็นอันตรายต่อกระบวนการ Renderer สามารถหลบหนี Sandbox ผ่านหน้า HTML แบบพิเศษได้
คำแนะนำ
- อัปเกรด Chrome เป็นเวอร์ชัน 119.0.6045.199/.200 สำหรับ Windows และ 119.0.6045.199 สำหรับ macOS และ Linux
- ผู้ที่ใช้เบราว์เซอร์ Chromium เช่น Microsoft Edge, Brave, Opera และ Vivaldi ควรใช้การแก้ไขเมื่อพร้อมใช้งาน
- ใช้ระบบรักษาความปลอดภัยในทุกอุปกรณ์ที่มีการเชื่อมต่อออนไลน์ และทำการอัปเดตให้เป็นเวอร์ชันปัจจุบันอยู่เสมอ
- ควรตั้งรหัสผ่านที่คาดเดาได้ยาก และหลากหลาย รวมถึงควรเปลี่ยนรหัสผ่านเป็นประจำทุก 3 – 6 เดือน
Ref: https://thehackernews.com/2023/11/zero-day-alert-google-chrome-under.html