Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บน Browser Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว
ช่องโหว่ Zero-Day ถูกระบุหมายเลย CVE คือ CVE-2024-4947 ระดับความรุนแรงสูง (High Serverity) เป็นช่องโหว่ Type Confusion ใน V8 JavaScript engine ถูกรายงานโดยนักวิจัยจาก Kaspersky นามว่า Vasily Berdnikov และ Boris Larin เมื่อ 13 พฤษภาคม 2024 ที่ผ่านมา
ช่องโหว่ Type Confusion เกิดขึ้นเมื่อโปรแกรมพยายามเข้าถึงทรัพยากรที่มีประเภทที่เข้ากันไม่ได้ ผลกระทบอาจนำไปสู่การที่ผู้ไม่หวังดีสามารถเข้าถึงหน่วยความจำ Out-of-bounds, ทำให้แอปพลิเคชัน Crash และรันโค้ดที่เป็นอันตรายได้
การแพตช์นี้ถือเป็นการเป็นแก้ไข Zero-Day ครั้งที่ 3 ของ Google ภายในหนึ่งสัปดาห์หลังจาก CVE-2024-4671 และ CVE-2024-4761 ผู้ใช้งาน Browser Chromium-Base เช่น Microsoft Edge, Brave, Opera และ Vivaldi ก็ควรทำการแพตช์เมื่อเบราว์เซอร์เหล่านี้มีการปล่อยแพตช์ออกมาเช่นกัน
ระบบที่ได้รับผลกระทบ
แนวทางการบรรเทาผลกระทบ
แหล่งที่มา
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว