Google แก้ไขช่องโหว่ Zero-day ใน Chrome  ครั้งที่สามของปี 2023

291/66 (IT) ประจำวันพุธที่ 7 มิถุนายน 2566

Google ออก Security Update เพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูง หมายเลข CVE-2023-3079 ซึ่งอยู่ในเว็บเบราว์เซอร์ Chrome ช่องโหว่นี้เป็นปัญหาความสับสนของประเภทที่อยู่ V8 JavaScript engine และช่องโหว่นี้กำลังถูกใช้โจมตีอย่างหนัก

ช่องโหว่นี้ถูกค้นพบโดย Clement Lecigne จาก Threat Analysis Group (TAG) ของ Google ซึ่งเป็นทีมงานของ Google ที่ติดตามกิจกรรมของผู้มีบทบาทในระดับชาติ โดยมีรายงานช่องโหว่นี้เมื่อวันที่ 1 มิถุนายน 2023 และมีแนวโน้มว่าช่องโหว่ดังกล่าวถูกโจมตี โดยกลุ่ม APT ที่ได้รับการสนับสนุนจากรัฐ

Google ทราบดีว่ามีการ exploit ช่องโหว่ CVE-2023-3079 จริง คำแนะนำที่เผยแพร่โดยบริษัทได้รับการอัปเดตเป็น 114.0.5735.106 สำหรับ Mac และ Linux และ 114.0.5735.110 สำหรับ Windows ซึ่งจะเปิดตัวในอีกไม่กี่วันข้างหน้า ทั้งนี้ CVE-2023-3079 เป็นช่องโหว่ Zero-day ตัวที่สามที่ถูกใช้โจมตีใน Chrome โดยมีช่องโหว่อีก 2 รายการในปี 2023 ได้แก่:

    1. CVE-2023-2033 (คะแนน CVSS: 8.8) Type Confusion in V8    

2. CVE-2023-2136 (คะแนน CVSS: 9.6) – Integer overflow in the Skia graphics library

แหล่งข่าว ( https://securityaffairs.com/147137/hacking/chrome-zero-day-3.html )