- Google เปิดตัว คำแนะนำด้านความปลอดภัยของ Chromeซึ่งรวมถึงโปรแกรมแก้ไข Zero-day สำหรับกลไก JavaScript ของ Chrome
- CVE-2021-30551 ได้รับคะแนนสูง โดยมีจุดบกพร่องเพียงตัวเดียวที่ไม่ได้อยู่ในป่า ซึ่งถูกโจมตีโดยบุคคลที่สามที่มุ่งร้าย
- ตามที่ Google ระบุ การเข้าถึงรายละเอียดจุดบกพร่องและลิงก์อาจถูกจำกัดไว้จนกว่าผู้ใช้ส่วนใหญ่จะได้รับการอัปเดตด้วยการแก้ไข
- ดิ บั๊ก CVE-2021-30551 ถูกระบุโดย Google ว่าเป็นความสับสนประเภทใน V8 ซึ่งหมายความว่าการรักษาความปลอดภัย JavaScript สามารถข้ามได้สำหรับการเรียกใช้โค้ดที่ไม่ได้รับอนุญาต
ผู้ใช้ยังคงใช้ Microsoft. รุ่นก่อนหน้า แพทช์ประกาศวันอังคารซึ่งถือว่าค่อนข้างแย่ในความเห็นของพวกเขา โดยได้มีการแก้ไขช่องโหว่ที่มีอยู่แล้ว 6 รายการ
ไม่ต้องพูดถึงสิ่งที่ฝังลึกอยู่ในร่องรอยของโค้ดการเรนเดอร์เว็บ MSHTML ของ Internet Explorer
แก้ไขความปลอดภัย 14 รายการในการอัปเดตเดียว
ตอนนี้ Google เปิดตัว release คำแนะนำด้านความปลอดภัยของ Chromeซึ่งคุณอาจต้องการทราบรวมถึงโปรแกรมแก้ไขซีโร่เดย์ (CVE-2021-30551) กับกลไก JavaScript ของ Chrome ท่ามกลางการแก้ไขด้านความปลอดภัยอีก 14 รายการที่ระบุไว้อย่างเป็นทางการ
สำหรับใครที่ยังไม่รู้จักคำว่า ซีโร่เดย์ เป็นช่วงเวลาแห่งจินตนาการ เนื่องจากการโจมตีทางอินเทอร์เน็ตประเภทนี้เกิดขึ้นภายในเวลาไม่ถึงหนึ่งวันนับตั้งแต่ตระหนักถึงข้อบกพร่องด้านความปลอดภัย
ดังนั้นจึงไม่ได้ให้เวลานักพัฒนาเกือบเพียงพอในการกำจัดหรือลดความเสี่ยงที่อาจเกิดขึ้นจากช่องโหว่นี้
เช่นเดียวกับ Mozilla Google ยังจัดกลุ่มจุดบกพร่องที่เป็นไปได้อื่นๆ ที่พบโดยใช้วิธีการค้นหาจุดบกพร่องทั่วไป ซึ่งแสดงเป็น การแก้ไขต่างๆ จากการตรวจสอบภายใน การทำให้ไม่ชัดเจน และการริเริ่มอื่นๆ
Fuzzers สามารถผลิตอินพุตทดสอบได้นับล้านหรือหลายร้อยล้านรายการตลอดช่วงการพิสูจน์
อย่างไรก็ตาม ข้อมูลเดียวที่พวกเขาต้องจัดเก็บคือในกรณีที่ทำให้โปรแกรมทำงานผิดปกติหรือเกิดความผิดพลาด
ซึ่งหมายความว่าสามารถใช้ในภายหลังในกระบวนการนี้เป็นจุดเริ่มต้นสำหรับนักล่าแมลงของมนุษย์ซึ่งจะประหยัดเวลาและกำลังคนได้มาก
แมลงกำลังถูกเอารัดเอาเปรียบในป่า
Google เริ่มต้นด้วยการกล่าวถึงบั๊กซีโร่เดย์ โดยระบุว่าพวกเขา] ตระหนักดีว่ามีช่องโหว่สำหรับ CVE-2021-30551 อยู่ในป่า.
บั๊กนี้ถูกระบุว่าเป็น พิมพ์สับสนในV8โดยที่ V8 แสดงถึงส่วนของ Chrome ที่เรียกใช้โค้ด JavaScript
ความสับสนในการพิมพ์หมายความว่าคุณสามารถจัดเตรียมรายการข้อมูลให้กับ V8 ได้ในขณะที่หลอกให้ JavaScript จัดการมัน ราวกับว่าเป็นสิ่งที่แตกต่างไปจากเดิมอย่างสิ้นเชิง โดยอาจเลี่ยงการรักษาความปลอดภัยหรือแม้แต่เรียกใช้โค้ดที่ไม่ได้รับอนุญาต
อย่างที่หลายๆ คนคงทราบ การละเมิดความปลอดภัยของ JavaScript ที่สามารถทริกเกอร์ได้โดยโค้ด JavaScript ที่ฝังอยู่ในหน้าเว็บ ซึ่งมักส่งผลให้เกิดช่องโหว่ RCE หรือแม้แต่การเรียกใช้โค้ดจากระยะไกล
จากที่กล่าวมาทั้งหมด Google ไม่ได้ชี้แจงว่าจุดบกพร่อง CVE-2021-30551 สามารถใช้สำหรับการเรียกใช้โค้ดจากระยะไกลแบบไม่ยอมใครง่ายๆ หรือไม่ ซึ่งมักจะหมายความว่าผู้ใช้มีความเสี่ยงต่อการโจมตีทางไซเบอร์
เพียงเพื่อให้เข้าใจว่าเรื่องนี้ร้ายแรงเพียงใด ลองจินตนาการว่ากำลังท่องเว็บไซต์โดยไม่ต้องคลิกใดๆ เลย ป๊อปอัปอาจทำให้บุคคลที่สามที่เป็นอันตรายสามารถเรียกใช้โค้ดโดยมองไม่เห็น และฝังมัลแวร์ลงในคอมพิวเตอร์ของคุณ
ดังนั้น CVE-2021-30551 จึงได้รับคะแนนสูง โดยมีเพียงข้อบกพร่องที่ไม่ได้อยู่ในป่า (CVE-2021-30544) ซึ่งจัดอยู่ในประเภทวิกฤติ
อาจเป็นไปได้ว่าบั๊ก CVE-2021-30544 มีการกล่าวถึงที่สำคัญเนื่องจากสามารถใช้ประโยชน์ได้สำหรับ RCE
อย่างไรก็ตาม ไม่มีข้อเสนอแนะใด ๆ นอกเหนือจาก Google รวมถึงนักวิจัยที่รายงานว่ารู้วิธีการทำเช่นนั้นในขณะนี้
บริษัทยังระบุด้วยว่าการเข้าถึงรายละเอียดจุดบกพร่องและลิงก์อาจถูกจำกัดไว้จนกว่าผู้ใช้ส่วนใหญ่จะได้รับการอัปเดตด้วยการแก้ไข
คุณคิดอย่างไรกับแพตช์ซีโร่เดย์ล่าสุดโดย Google แบ่งปันความคิดของคุณกับเราในส่วนความคิดเห็นด้านล่าง
