Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ในเบราวเซอร์ Google Chrome ผู้ไม่หวังดีสามารถควบคุมเครื่องจากระยะไกล (CVE-2019-5786) มีแพตช์แล้ว

วันที่ประกาศ: 8 มีนาคม 2562
ปรับปรุงล่าสุด: 8 มีนาคม 2562
เรื่อง: ระวังภัย ช่องโหว่ในเบราวเซอร์ Google Chrome ผู้ไม่หวังดีสามารถควบคุมเครื่องจากระยะไกล (CVE-2019-5786) มีแพตช์แล้ว

ประเภทภัยคุกคาม: Intrusions

Share on Facebook Share on Twitter Share on Google+

ข้อมูลทั่วไป

เมื่อวันที่ 1 มีนาคม 2562 บริษัท Google ได้เผยแพร่อัปเดตของเบราว์เซอร์ Chrome โดยระบุว่ามีการแก้ไขช่องโหว่ระดับสูง (High) ที่ส่งผลให้ผู้ไม่หวังดีสามารถควบคุมเครื่องของเหยื่อได้จากระยะไกล ทาง Google แจ้งว่าพบการโจมตีผ่านช่องโหว่นี้แล้ว และแนะนำให้ผู้ใช้ติดตั้งอัปเดตโดยเร็ว ช่องโหว่นี้มีรหัส CVE-2019-5786

ช่องโหว่นี้เกิดจากฟังก์ชัน FileReader API ของ Google Chrome มีข้อผิดพลาดในการอ่านข้อมูลจากหน่วยความจำในตำแหน่งที่ไม่ได้ใช้งานแล้ว (Use-after-free) ส่งผลให้ผู้ไม่หวังดีสามารถหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่เพื่อให้นำโค้ดดังกล่าวมาประมวลผลได้ (Remote Code Execution) หากการโจมตีสำเร็จ ผู้ไม่หวังดีจะสามารถสั่งควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้จากระยะไกล อย่างไรก็ตาม ระดับสิทธิในการประมวลผลคำสั่งอันตรายจะเทียบเท่ากับระดับสิทธิของตัวเบราว์เซอร์

ผลกระทบ

เครื่องคอมพิวเตอร์ที่ใช้งานเว็บเบราว์เซอร์ Google Chrome อาจถูกผู้ไม่หวังดีสั่งประมวลผลคำสั่งอันตรายจากระยะไกลได้ หากเข้าไปยังเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่

ระบบที่ได้รับผลกระทบ

Google Chrome เวอร์ชันต่ำกว่า 72.0.3626.121 ช่องโหว่นี้มีผลกระทบทั้ง Windows, Mac และ Linux

ข้อแนะนำในการป้องกันและแก้ไข

อัปเดตเบราว์เซอร์ Google Chrome เป็นเวอร์ชัน 72.0.3626.121

อ้างอิง

  1. https://www.bleepingcomputer.com/news/security/google-chrome-update-patches-zero-day-actively-exploited-in-the-wild/
  2. https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html
  3. https://security.googleblog.com/2019/03/disclosing-vulnerabilities-to-protect.html
Clear