385/67 (IT) ประจำวันพฤหัสบดีที่ 31 ตุลาคม 2567
เมื่อวันอังคารที่ผ่านมา Google และ Mozilla ได้ออกแพตช์ความปลอดภัยสำหรับเบราว์เซอร์ Chrome และ Firefox โดยแก้ไขช่องโหว่สำคัญหลายรายการที่อาจส่งผลกระทบต่อความปลอดภัยของผู้ใช้ ทาง Google ได้เปิดตัว Chrome เวอร์ชัน 130 ซึ่งแก้ไขช่องโหว่สองรายการ รวมถึง CVE-2024-10487 ที่เป็นช่องโหว่ out-of-bounds write ใน Dawn ซึ่งเป็นการใช้งาน WebGPU แบบ cross-platform ซึ่งช่องโหว่นี้ถูกรายงานจากทีม Security Engineering and Architecture (SEAR) ของ Apple เพียงหนึ่งสัปดาห์ก่อนการแก้ไข
แม้ยังไม่มีข้อมูลว่าช่องโหว่ CVE-2024-10487 ถูกนำไปใช้โจมตี แต่การโจมตีจากช่องโหว่ประเภท out-of-bounds write อาจเปิดโอกาสให้ผู้โจมตีสามารถ arbitrary code execution บนอุปกรณ์ได้ โดย Chrome 130 ยังได้แก้ไขช่องโหว่ CVE-2024-10488 ซึ่งเป็นการ use-after-free ใน WebRTC ที่มีความรุนแรงสูง ซึ่งอย่างไรก็ตาม Google ยังไม่ได้ประกาศจำนวนเงินรางวัลที่จะมอบให้ผู้รายงานช่องโหว่เหล่านี้
ทาง Mozilla ได้อัปเดต Firefox เวอร์ชัน 132 และ Thunderbird 132 เพื่อแก้ไขช่องโหว่ 11 รายการ โดยสองช่องโหว่สำคัญ ได้แก่ CVE-2024-10458 ที่อาจทำให้ข้อมูลสิทธิ์การเข้าถึงรั่วไหลจากเว็บไซต์ที่เชื่อถือได้ไปยังเว็บไซต์ที่ไม่น่าเชื่อถือ และ CVE-2024-10459 ซึ่งอาจทำให้เกิดการ Crash ละเป็นช่องทางในการโจมตี ช่องโหว่ที่เหลือมีความเสี่ยงระดับปานกลางและต่ำ ผู้ใช้ควรอัปเดตเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันความเสี่ยงจากช่องโหว่เหล่านี้
แหล่งข่าว https://www.securityweek.com/google-patches-critical-chrome-vulnerability-reported-by-apple/