Chrome ปล่อยอัปเดตใหม่ปิดช่องโหว่ระดับวิกฤต CVE-2020-6418

เมื่อวันจันทร์ที่ผ่านมา (24/2/2563) Google ออกมาประกาศว่าได้อัปเดตเบราว์เซอร์ Chrome เพื่อปิดช่องโหว่อันตรายระดับ Zero-Day ซึ่งถูกแฮกเกอร์ใช้โจมตีผู้ใช้ทั้งบนระบบปฏิบัติการ Window, macOS และ Linux

ช่องโหว่แบบ Zero-day ใช้เรียกช่องโหว่ที่ถูกแฮกเกอร์ค้นพบ และใช้ประโยชน์ในการโจมตีจนกระทั่งผู้พัฒนารู้ตัว แล้วหาทางอัปเดตเพื่อปิดช่องโหว่ดังกล่าวได้

โจมตีโดยอาศัยข้อผิดพลาดของ Memory corruptions ในตัว JavaScript และเอนจิน Web Assembly ที่ชื่อ V8 บนเบราว์เซอร์ Chrome ซึ่งแฮกเกอร์สามารถใช้ข้อผิดที่เกิดขึ้นในหน่วยความจำเพื่อทำการส่งโค้ดอันตรายไปทำงานบนเครื่องเป้าหมายได้ช่องโหว่ดังกล่าวมีรหัสว่า CVE-2020-6418 ซึ่งทาง Google ได้ระบุว่า CVE-2020-6418 มีความรุนแรงในระดับสูง และส่งผลกระทบต่อ Chrome เวอร์ชันก่อนหน้า 80.0.3987.122

โดยในการโจมตี แฮกเกอร์จะวางกับดักเอาไว้บนเว็บไซต์ที่สร้างขึ้นมาเพื่อหลอกล่อให้เหยื่อหลงเข้ามา ทันทีที่เหยื่อเข้าชมเว็บไซต์ ก็จะใช้เทคนิค Memory corruptions ในการโจมตีได้ทันที

นอกจากนี้ Google ยังได้เตือนผู้ใช้ถึงช่องโหว่ที่มีความเสี่ยงสูงอีก 2 ตัว ตัวแรกมีรหัสว่า CVE-2020-6407 ช่องโหว่นี้โจมตีผ่านการเข้าถึงหน่วยความจำที่เกินขอบเขตในระบบ Streams ส่วนช่องโหว่อีกตัวยังไม่ได้รับการระบุรหัส CVE โดยมันเป็นข้อผิดพลาดของ Integer overflow ใน ICU ที่สามารถถูกใช้เพื่อช่วยในการส่งโค้ดเข้าโจมตีเป้าหมายได้

ด้วยเหตุผลข้างต้น Google จึงแนะนำให้ผู้ใช้ Chrome ทำการอัปเดตเป็นเวอร์ชันล่าสุดเพื่อแก้ไขปัญหาดังกล่าว