434/66 (IT) ประจำวันศุกร์ที่ 29 กันยายน 2566
เมื่อวันพุธที่ผ่านมา Google ได้เปิดตัวด้วยการออก Update เพื่อแก้ไขช่องโหว่ Zero-day ที่ถูกใช้ Exploit ในเบราว์เซอร์ Chrome ที่ช่องโหว่หมายเลข CVE-2023-5217 ระดับ high-severity ซึ่งเป็น heap-based buffer overflow ในรูปแบบการบีบอัด VP8 ใน libvpx ที่เป็นไลบรารีตัวแปลงสัญญาณวิดีโอซอฟต์แวร์ฟรีจาก Google และ Alliance for Open Media (AOMedia) หากการใช้ประโยชน์จากช่องโหว่ดังกล่าวอาจส่งผลให้โปรแกรมหยุดทำงานหรือเรียกใช้โค้ดที่กำหนดเอง ซึ่งจะส่งผลกระทบต่อความพร้อมใช้งานและความสมบูรณ์ของโปรแกรม
Clément Lecigne จาก Threat Analysis Group (TAG) ของ Google ได้รับเครดิตในการค้นพบและรายงานช่องโหว่เมื่อวันที่ 25 กันยายน 2023 โดยตอนนี้ไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ดังกล่าว ซึ่งจากการพบช่องโหว่ดังกล่าวทำให้ Google Chrome มีช่องโหว่ Zero-day จำนวนห้ารายการที่มีการเผยแพร่อัปเดตในปีนี้
– CVE-2023-2033 ( CVSS score: 8.8 ) – Type confusion in V8
– CVE-2023-2136 ( CVSS score: 9.6 ) – Integer overflow in Skia
– CVE-2023-3079 ( CVSS score: 8.8 ) – Type confusion in V8
– CVE-2023-4863 ( CVSS score: 8.8 ) – Heap buffer overflow in WebP
ขอแนะนำให้ผู้ใช้งานอัปเดตเป็น Chrome เวอร์ชัน 117.0.5938.132 สำหรับ Windows, macOS และ Linux เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น และผู้ใช้งานเบราว์เซอร์ที่ใช้ Chromium อื่นๆ เช่น Microsoft Edge, Brave, Opera และ Vivaldi ควรรีบทำการอัปเดต
แหล่งข่าว https://thehackernews.com/2023/09/update-chrome-now-google-releases-patch.html