Google ได้ปล่อยแพตช์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ 6 ช่องโหว่ในเบราว์เซอร์ Google Chrome รวมถึง Zero-Day ที่พบว่าถูกใช้ในการโจมตีจริงอย่างกว้างขวาง

ช่องโหว่ที่ถูกใช้ในการโจมตีใช้หมายเลย CVE คือ CVE-2023-6345 เป็นช่องโหว่ Integer overflow ใน Skia ก่อให้เกิดความเสี่ยงตั้งแต่การขัดข้องของ Google Chrome ไปจนถึงการสั่งรันโค้ดที่เป็นอันตรายได้ ซึ่ง Skia เป็นไลบรารีกราฟิก 2D แบบ Open source ถูกรายงานโดย Benoît Sevens และ Clément Lecigne จาก Threat Analysis Group (TAG) ของ Google เมื่อวันที่ 24 พฤศจิกายน 2023

ทาง Google กล่าวว่า การเข้าถึงรายละเอียดของ bug และ link อาจถูกจำกัดการเข้าถึงจนกว่าผู้ใช้ส่วนใหญ่จะทำการอัปเดตเพื่อแก้ไขช่องโหว่นี้ นอกจากนี้เรายังจะคงข้อจำกัดไว้หาก bug มีอยู่ในไลบรารีของ Third party ซึ่งโปรเจ็กต์อื่นๆ ที่ใช้ไลบรารีเดียวกัน แต่ยังไม่ได้แก้ไข

นอกเหนือจากช่องโหว่ CVE-2023-6345 แล้ว Google ยังแก้ไขปัญหาด้านความปลอดภัยอื่นๆ อีก 5 รายการด้วยการอัปเดต Chrome ล่าสุด โดยช่องโหว่เหล่านี้ได้แก่:

• CVE-2023-6348: Type Confusion ใน Spellcheck
• CVE-2023-6347: Use after free ใน Mojo
• CVE-2023-6346: Use after free ใน WebAudio
• CVE-2023-6350: Out-of-bounds memory access ใน libavif
• CVE-2023-6351: Use after free ใน libavif

ระบบที่ได้รับผลกระทบ

• Google Chrome สำหรับ Windows เวอร์ชันต่ำกว่า 119.0.6045.199/.200
• Google Chrome สำหรับ macOS และ Linux เวอร์ชันต่ำกว่า 119.0.6045.199

แนวทางการลดผลกระทบ

• อัปเดตเวอร์ชันของ Google Chrome ให้เป็นเวอร์ชันที่แก้ไขช่องโหว่แล้ว (เวอร์ชัน 119.0.6045.199/.200 หรือใหม่กว่า)
• โดยการอัปเดตทำได้โดยการเปิด Google Chrome ที่มุมบนขวามือ ให้คลิกเพิ่มเติม
• > Help >  About Google Chrome > กด Update Google Chrome > กด Relaunch

อ้างอิง

• https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html

‍