Google ได้ออกการอัปเดตเร่งด่วนเพื่อแก้ไขช่องโหว่ที่ค้นพบเมื่อเร็วๆ นี้ใน Chrome ซึ่งอยู่ภายใต้การแสวงหาประโยชน์อย่างแข็งขันจากภายนอก ถือเป็นช่องโหว่แบบ Zero-day ครั้งที่แปดที่ระบุสำหรับเบราว์เซอร์ในปี 2023
ระบุว่าเป็น CVE-2023-7024Google กล่าวว่าช่องโหว่นี้เป็นข้อบกพร่องฮีปบัฟเฟอร์โอเวอร์โฟลว์ที่สำคัญภายในโมดูล WebRTC ของ Chrome ที่อนุญาตให้มีการเรียกใช้โค้ดจากระยะไกล (RCE)
WebRTC เป็นโครงการริเริ่มแบบโอเพ่นซอร์สที่ช่วยให้สามารถสื่อสารแบบเรียลไทม์ผ่าน API และได้รับการสนับสนุนอย่างกว้างขวางจากผู้ผลิตเบราว์เซอร์ชั้นนำ
CVE-2023-7024 คุกคามผู้ใช้ Chrome อย่างไร
Lionel Litty หัวหน้าสถาปนิกด้านความปลอดภัยของ Menlo Security อธิบายว่าความเสี่ยงจากการถูกเอารัดเอาเปรียบคือความสามารถในการบรรลุ RCE ในกระบวนการเรนเดอร์ ซึ่งหมายความว่าผู้ไม่ประสงค์ดีสามารถเรียกใช้โค้ดไบนารี่บนเครื่องของผู้ใช้ได้ นอกแซนด์บ็อกซ์ JavaScript
อย่างไรก็ตาม ความเสียหายที่แท้จริงนั้นขึ้นอยู่กับการใช้จุดบกพร่องเป็นขั้นตอนแรกในห่วงโซ่การหาประโยชน์ จะต้องรวมกับช่องโหว่ในการหลบหนีแซนด์บ็อกซ์ใน Chrome เองหรือระบบปฏิบัติการจึงจะเป็นอันตรายอย่างแท้จริง
“โค้ดนี้ยังคงอยู่ในแซนด์บ็อกซ์เนื่องจากสถาปัตยกรรมหลายกระบวนการของ Chrome” Litty กล่าว “ดังนั้นด้วยช่องโหว่นี้ ผู้โจมตีจึงไม่สามารถเข้าถึงไฟล์ของผู้ใช้หรือเริ่มปรับใช้มัลแวร์ได้ และการวางหลักบนเครื่องก็หายไปเมื่อแท็บที่ได้รับผลกระทบ ปิด."
เขาชี้ให้เห็นว่าคุณลักษณะการแยกไซต์ของ Chrome โดยทั่วไปจะปกป้องข้อมูลจากไซต์อื่น ดังนั้นผู้โจมตีจึงไม่สามารถกำหนดเป้าหมายข้อมูลธนาคารของเหยื่อได้ แม้ว่าเขาจะเสริมว่ายังมีคำเตือนที่ละเอียดอ่อนอยู่บ้าง
ตัวอย่างเช่น การทำเช่นนี้จะทำให้ต้นทางของเป้าหมายถูกเปิดเผยต่อต้นทางที่เป็นอันตรายหากพวกเขาใช้ไซต์เดียวกัน กล่าวอีกนัยหนึ่ง สมมุติว่า Malware.shared.com สามารถกำหนดเป้าหมายไปที่เหยื่อ.shared.com ได้
“แม้ว่าการเข้าถึงไมโครโฟนหรือกล้องจะต้องได้รับความยินยอมจากผู้ใช้ แต่การเข้าถึง WebRTC นั้นไม่ได้เป็นเช่นนั้น” Litty อธิบาย “เป็นไปได้ว่าช่องโหว่นี้สามารถตกเป็นเป้าหมายของเว็บไซต์ใดๆ ได้โดยไม่ต้องให้ผู้ใช้ป้อนข้อมูลใดๆ นอกเหนือจากการเยี่ยมชมหน้าที่เป็นอันตราย ดังนั้นจากมุมมองนี้ ภัยคุกคามจึงมีนัยสำคัญ”
Aubrey Perin หัวหน้านักวิเคราะห์ข่าวกรองภัยคุกคามที่ Qualys Threat Research Unit ตั้งข้อสังเกตว่าจุดบกพร่องนี้ขยายขอบเขตไปไกลกว่า Google Chrome
“การใช้ประโยชน์จาก Chrome นั้นเชื่อมโยงกับความแพร่หลายของมัน แม้แต่ Microsoft Edge ก็ใช้ Chromium” เขากล่าว “ดังนั้น การใช้ประโยชน์จาก Chrome อาจกำหนดเป้าหมายผู้ใช้ Edge และทำให้ผู้ไม่ประสงค์ดีเข้าถึงได้กว้างขึ้น”
และควรสังเกตว่าอุปกรณ์มือถือ Android ที่ใช้ Chrome มีโปรไฟล์ความเสี่ยงของตัวเอง พวกเขาใส่หลายไซต์ในกระบวนการเรนเดอร์เดียวกันในบางสถานการณ์ โดยเฉพาะอย่างยิ่งบนอุปกรณ์ที่มี RAM ไม่มาก
เบราว์เซอร์ยังคงเป็นเป้าหมายการโจมตีทางไซเบอร์อันดับต้นๆ
ผู้จำหน่ายเบราว์เซอร์รายใหญ่เพิ่งรายงานข้อบกพร่องแบบ Zero-day จำนวนเพิ่มมากขึ้น — Google เพียงอย่างเดียวรายงาน ห้าตั้งแต่เดือนสิงหาคม.
Apple, Microsoft และ Firefox เป็นหนึ่งในบริษัทอื่นๆ ที่เปิดเผย ชุดของช่องโหว่ที่สำคัญ ในเบราว์เซอร์ รวมถึงซีโรเดย์ด้วย
โจเซฟ คาร์สัน หัวหน้านักวิทยาศาสตร์ด้านความปลอดภัยและที่ปรึกษา CISO ของ Delinea กล่าวว่าไม่น่าแปลกใจเลยที่แฮกเกอร์และอาชญากรไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลมุ่งเป้าไปที่ซอฟต์แวร์ยอดนิยม โดยค้นหาช่องโหว่เพื่อใช้ประโยชน์อย่างต่อเนื่อง
“สิ่งนี้มักจะนำไปสู่พื้นที่การโจมตีที่ใหญ่ขึ้น เนื่องจากมีการใช้งานซอฟต์แวร์อย่างแพร่หลาย มีหลายแพลตฟอร์ม เป้าหมายที่มีมูลค่าสูง และมักจะเปิดประตูสู่การโจมตีในห่วงโซ่อุปทาน” เขากล่าว
เขาตั้งข้อสังเกตว่าช่องโหว่ประเภทนี้ยังต้องใช้เวลาสำหรับผู้ใช้จำนวนมากในการอัปเดตและแก้ไขระบบที่มีช่องโหว่
“ดังนั้น ผู้โจมตีมักจะมุ่งเป้าไปที่ระบบที่มีช่องโหว่เหล่านี้เป็นเวลาหลายเดือนข้างหน้า” คาร์สันกล่าว
เขากล่าวเสริมว่า “เนื่องจากช่องโหว่นี้กำลังถูกใช้อย่างแข็งขัน จึงมีแนวโน้มว่าระบบผู้ใช้จำนวนมากถูกโจมตีแล้ว และจำเป็นอย่างยิ่งที่จะต้องสามารถระบุอุปกรณ์ที่ถูกกำหนดเป้าหมายและแก้ไขระบบเหล่านั้นได้อย่างรวดเร็ว”
ด้วยเหตุนี้ คาร์สันจึงตั้งข้อสังเกตว่า องค์กรต่างๆ ควรตรวจสอบระบบที่มีความละเอียดอ่อนซึ่งมีช่องโหว่นี้ เพื่อระบุความเสี่ยงหรือผลกระทบที่มีนัยสำคัญที่อาจเกิดขึ้น
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- :มี
- :เป็น
- :ไม่
- 2023
- 7
- a
- ความสามารถ
- สามารถ
- เข้า
- บรรลุ
- คล่องแคล่ว
- อย่างกระตือรือร้น
- นักแสดง
- ที่อยู่
- เพิ่ม
- ที่ปรึกษา
- อนุญาต
- ช่วยให้
- คนเดียว
- แล้ว
- ด้วย
- แม้ว่า
- ในหมู่
- an
- นักวิเคราะห์
- และ
- หุ่นยนต์
- ใด
- APIs
- สถาปัตยกรรม
- เป็น
- AS
- At
- โจมตี
- การโจมตี
- ไป
- ไม่ดี
- การธนาคาร
- BE
- รับ
- กำลัง
- เกิน
- เบราว์เซอร์
- เบราว์เซอร์
- กันชน
- บัฟเฟอร์ล้น
- Bug
- เป็นโรคจิต
- by
- ห้อง
- CAN
- ไม่ได้
- โซ่
- หัวหน้า
- Chrome
- โครเมียม
- CISO
- ปิด
- รหัส
- COM
- รวม
- อย่างไร
- การสื่อสาร
- ที่ถูกบุกรุก
- ความยินยอม
- ไม่หยุดหย่อน
- ได้
- วิกฤติ
- cyberattack
- อาชญากรไซเบอร์
- ความเสียหาย
- Dangerous
- ข้อมูล
- ปรับใช้
- กำหนด
- อุปกรณ์
- ค้นพบ
- do
- ทำ
- ประตู
- สอง
- ขอบ
- ที่แปด
- ทั้ง
- การเปิดใช้งาน
- หลบหนี
- โดยเฉพาะอย่างยิ่ง
- แม้
- ตัวอย่าง
- การปฏิบัติ
- อธิบาย
- เอาเปรียบ
- การแสวงหาผลประโยชน์
- ใช้ประโยชน์
- การใช้ประโยชน์จาก
- ขยาย
- ลักษณะ
- ไฟล์
- Firefox
- ชื่อจริง
- ข้อบกพร่อง
- สำหรับ
- ราคาเริ่มต้นที่
- โดยทั่วไป
- ไป
- Google Chrome
- รัฐบาล
- รัฐบาลสนับสนุน
- การเจริญเติบโต
- แฮกเกอร์
- มี
- he
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- HTML
- HTTPS
- ระบุ
- แยกแยะ
- if
- ส่งผลกระทบ
- ที่กระทบ
- สำคัญ
- in
- ในอื่น ๆ
- รวมทั้ง
- ข้อมูล
- Initiative
- อินพุต
- Intelligence
- สอบสวน
- ความเหงา
- ทุนที่ออก
- IT
- ITS
- ตัวเอง
- JavaScript
- jpg
- เพียงแค่
- ที่มีขนาดใหญ่
- นำ
- ชั้นนำ
- นำไปสู่
- น่าจะ
- Lot
- เครื่อง
- ผู้ผลิต
- มัลแวร์
- หลาย
- เครื่องหมาย
- วัสดุ
- วิธี
- ไมโครโฟน
- ไมโครซอฟท์
- Microsoft Edge
- โทรศัพท์มือถือ
- อุปกรณ์มือถือ
- โมดูล
- เดือน
- หลาย
- ความต้องการ
- ไม่
- เด่น
- หมายเหตุ / รายละเอียดเพิ่มเติม
- จำนวน
- of
- on
- เปิด
- โอเพนซอร์ส
- เปิด
- or
- องค์กร
- ที่มา
- OS
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- ออก
- ด้านนอก
- ของตนเอง
- หน้า
- ปะ
- มุมมอง
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- ยอดนิยม
- เป็นไปได้
- ที่มีศักยภาพ
- ที่อาจเกิดขึ้น
- กระบวนการ
- โปรไฟล์
- ป้องกัน
- ใส่
- อย่างรวดเร็ว
- แรม
- มาถึง
- จริง
- เรียลไทม์
- เมื่อเร็ว ๆ นี้
- สัมพันธ์
- ยังคง
- รีโมท
- รายงาน
- ต้อง
- การวิจัย
- ผล
- ความเสี่ยง
- ความเสี่ยง
- วิ่ง
- s
- กล่าวว่า
- เดียวกัน
- Sandbox
- พูดว่า
- สถานการณ์
- นักวิทยาศาสตร์
- ค้นหา
- ความปลอดภัย
- มีความละเอียดอ่อน
- ที่ใช้ร่วมกัน
- น่า
- สำคัญ
- ตั้งแต่
- เว็บไซต์
- สถานที่ทำวิจัย
- So
- ซอฟต์แวร์
- บาง
- แหล่ง
- ผู้ให้การสนับสนุน
- เริ่มต้น
- ขั้นตอน
- ยังคง
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- สนับสนุน
- พื้นผิว
- แปลกใจ
- ระบบ
- เอา
- เป้า
- เป้าหมาย
- เป้าหมาย
- ที่
- พื้นที่
- ของพวกเขา
- ที่นั่น
- ดังนั้น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- นี้
- เหล่านั้น
- แต่?
- การคุกคาม
- ขู่
- ตลอด
- ผูก
- เวลา
- ไปยัง
- ด้านบน
- อย่างแท้จริง
- ชนิด
- เป็นปกติ
- ภายใต้
- หน่วย
- บันทึก
- ด่วน
- การใช้
- ใช้
- ผู้ใช้งาน
- ผู้ใช้
- ใช้
- การใช้
- มักจะ
- ผู้ขาย
- เหยื่อ
- ช่องโหว่
- ความอ่อนแอ
- อ่อนแอ
- Website
- เมื่อ
- ในขณะที่
- กว้าง
- แพร่หลาย
- ป่า
- จะ
- กับ
- ภายใน
- ไม่มี
- คำ
- จะ
- ลมทะเล