เป็นครั้งที่สี่นับตั้งแต่เดือนสิงหาคมที่ Google ได้เปิดเผยข้อบกพร่องในเทคโนโลยีเบราว์เซอร์ Chrome ที่ผู้โจมตีกำลังหาประโยชน์อย่างแข็งขันก่อนที่บริษัทจะแก้ไขปัญหาดังกล่าว
ข้อผิดพลาดล้นจำนวนเต็ม
ซีโร่เดย์ล่าสุดซึ่ง Google กำลังติดตามอยู่ CVE-2023-6345เกิดจากปัญหาจำนวนเต็มล้นใน Skia ซึ่งเป็นไลบรารีกราฟิกโอเพ่นซอร์ส 2D ใน Chrome ข้อบกพร่องนี้เป็นหนึ่งในเจ็ดช่องโหว่ของ Chrome ที่ Google ออกการอัปเดตความปลอดภัยในสัปดาห์นี้
ของ บริษัท ฯ ที่ปรึกษา มีรายละเอียดกระจัดกระจายใน CVE-2023-6345 นอกเหนือจากการกล่าวถึงข้อเท็จจริงที่ว่าการใช้ประโยชน์จากช่องโหว่นี้เปิดเผยต่อสาธารณะ คำอธิบายโดยย่อเกี่ยวกับเว็บไซต์ฐานข้อมูลช่องโหว่แห่งชาติ (NVD) ของ NIST อธิบายข้อบกพร่อง ซึ่งส่งผลกระทบต่อ Chrome เวอร์ชันก่อน 119.0.6045.199 และอนุญาตให้ผู้โจมตีระยะไกลที่ "ประนีประนอมกระบวนการเรนเดอร์เพื่อดำเนินการหลบหนีแซนด์บ็อกซ์ผ่านไฟล์ที่เป็นอันตราย" NVD ระบุว่าจุดบกพร่องเป็นปัญหาที่มีความรุนแรงสูง
Google ให้เครดิตนักวิจัยที่ Threat Analysis Group ในการค้นหาและรายงาน CVE-2023-6345 เมื่อวันที่ 24 พฤศจิกายน
ช่องโหว่ดังกล่าวถือเป็นช่องโหว่ซีโรเดย์ครั้งที่ 7 ที่ Google ได้เร่งดำเนินการแก้ไขท่ามกลางกิจกรรมการหาประโยชน์ที่ดำเนินอยู่ในปีนี้ และเป็นการแสดงให้เห็นถึงความสนใจของผู้โจมตีที่เพิ่มขึ้นใน Chrome และเบราว์เซอร์อื่นๆ
เบราว์เซอร์ Zero-Days มากมาย
ตั้งแต่ต้นปีนี้ Apple, Google, Microsoft และ Firefox ต่างก็เปิดเผยช่องโหว่ที่สำคัญหลายประการในเบราว์เซอร์ของตน รวมถึงช่องโหว่จำนวนหนึ่งที่เป็นศูนย์ ในบางกรณี จุดบกพร่องในองค์ประกอบที่ใช้กันอย่างแพร่หลายบางส่วนส่งผลกระทบต่อเบราว์เซอร์หลายตัวพร้อมกัน ดังเช่นในกรณีนั้น CVE-2023-4863, ฮีปโอเวอร์โฟลว์แบบซีโรเดย์ใน WebP, ไลบรารีโค้ดที่ใช้ได้ทั่วไปใน Chrome, Apple Safari และ Mozilla Firefox ในกรณีอื่นๆ เช่นเดียวกับ CVE-2023-5217ซึ่งเป็นข้อบกพร่องแบบ Zero-day ใน Chrome ส่งผลกระทบต่อเบราว์เซอร์หลายตัวที่ใช้เทคโนโลยี Chromium เช่น Microsoft Edge, Opera, Brave และ Vivaldi
นอกจากนี้ยังมีซีโรเดย์หลายวันที่ Apple เปิดเผยแยกต่างหากในปีนี้ในเอ็นจิ้นเบราว์เซอร์ WebKit สำหรับ Safari รวมถึง CVE-2023-28205 และอีกสามคนในเดือนพฤษภาคม: CVE-2023-32409, CVE-2023-28204 และ CVE-2023-32373- ทั้ง Microsoft และ Mozilla ยังได้รายงานจุดบกพร่องที่สำคัญอื่นๆ ในเบราว์เซอร์ของตนแยกกัน
ยังไม่ชัดเจนว่าผู้คุกคามรายใดที่อาจใช้ประโยชน์จาก CVE-2023-6345 ซึ่งเป็นข้อผิดพลาดที่ Google เปิดเผยในสัปดาห์นี้ หรือเพราะเหตุใด แต่ในช่วงไม่กี่เดือนที่ผ่านมา Google และ Apple ได้เตือนเกี่ยวกับผู้จำหน่ายผลิตภัณฑ์เฝ้าระวังเชิงพาณิชย์ที่ใช้ประโยชน์จากข้อบกพร่องแบบซีโร่เดย์ในเทคโนโลยีเบราว์เซอร์ของตน เพื่อวางสปายแวร์ บน Android, iOS และอุปกรณ์มือถืออื่นๆ Google ค้นพบ CVE-2023-4863 หลังจากที่นักวิจัยจาก Apple และ Toronto University Citizen Lab แจ้งให้บริษัททราบเกี่ยวกับผู้จำหน่ายเชิงพาณิชย์รายหนึ่งที่ใช้ข้อบกพร่องดังกล่าวเพื่อปล่อยสปายแวร์ Predator บนอุปกรณ์ Android และ iOS
การใช้งานที่แพร่หลาย
ความสนใจของผู้โจมตีในเบราว์เซอร์ที่เพิ่มมากขึ้นนั้นเกี่ยวข้องกับการใช้งานที่แพร่หลายของพวกเขา Lionel Litty หัวหน้าสถาปนิกด้านความปลอดภัยของ Menlo Security กล่าว การใช้งานเว็บแอปพลิเคชั่นอย่างแพร่หลายส่งผลให้ผู้ใช้ใช้เวลาส่วนใหญ่บนเบราว์เซอร์สำหรับทุกสิ่ง ตั้งแต่การเข้าถึงแอปพลิเคชั่นและเว็บเพจไปจนถึงเนื้อหาเพิ่มเติม เช่น PDF และเอกสารอื่น ๆ สิ่งที่เพิ่มเข้ามาคือแรงผลักดันของ Google เพื่อรวมคุณสมบัติต่างๆ เข้ากับเบราว์เซอร์ และแทนที่เทคโนโลยีไคลเอนต์ที่มีไขมัน Litty กล่าว ซึ่งรวมถึงการเปิดใช้งานการเข้าถึงอุปกรณ์ USB, บลูทูธ และแม้แต่ GPU ผ่านทางอินเทอร์เฟซ WebGPU
“แม้ว่าวิศวกรของ Google จะได้รับการดูแลอย่างดี แต่เรายังคงเห็นปัญหาด้านความปลอดภัยที่สามารถหาประโยชน์ได้อย่างต่อเนื่อง รวมถึงศูนย์วันจำนวนมากที่ถูกใช้ประโยชน์จริงๆ” เขากล่าว
ความจริงที่ว่าเบราว์เซอร์หลายตัวใช้ Chromium เป็นอีกเหตุผลหนึ่งที่ทำให้ผู้โจมตีมุ่งเป้าไปที่เทคโนโลยี Litty กล่าว “การพัฒนาช่องโหว่ต่อ Chrome มักจะหมายความว่ามันจะทำงานกับเบราว์เซอร์ทั้งหมด ยกเว้น Safari และ Firefox ทำให้ผู้ไม่ประสงค์ดีสามารถกำหนดเป้าหมายไปที่เหยื่อได้มากขึ้นโดยไม่ต้องดำเนินการใดๆ เพิ่มเติม”
Saeed Abbasi ผู้จัดการฝ่ายวิจัยช่องโหว่และภัยคุกคามที่ Qualys ชี้ให้เห็นถึงเหตุผลที่คล้ายคลึงกันที่ทำให้ Chrome ได้รับความนิยมเพิ่มขึ้นในหมู่ผู้แสดงภัยคุกคาม “นอกจากนี้ มูลค่าทางการค้าที่สูงจากการใช้ประโยชน์จากแพลตฟอร์มที่ใช้กันอย่างแพร่หลายเช่น Chrome ยังดึงดูดผู้โจมตีที่มีความซับซ้อน รวมถึงผู้ที่ได้รับการสนับสนุนจากผู้สนับสนุนของรัฐ” เขากล่าว
โดยทั่วไปแล้ว ช่องโหว่ของเบราว์เซอร์ก่อให้เกิดความเสี่ยงที่สำคัญสำหรับองค์กร Abbasi กล่าว ผู้โจมตีสามารถใช้จุดบกพร่องของเบราว์เซอร์เพื่อแอบมัลแวร์และสปายแวร์เข้าไปในองค์กรได้ นอกจากนี้ ผู้โจมตีอาจใช้ประโยชน์จากจุดอ่อนเหล่านี้เพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบและข้อมูลอื่น ๆ สำหรับการโจมตีที่อาจเกิดขึ้นในอนาคต
“เพื่อลดความเสี่ยงจากช่องโหว่ของเบราว์เซอร์ องค์กรควรจัดลำดับความสำคัญของการอัปเดตและการจัดการแพตช์เป็นประจำเพื่อให้เบราว์เซอร์ทันสมัยอยู่เสมอ” Abbasi กล่าว “การใช้การแบ่งส่วนเครือข่ายสามารถจำกัดการเข้าถึงเบราว์เซอร์ไปยังพื้นที่ละเอียดอ่อน และลดผลกระทบจากการละเมิด”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/google-patches-another-chrome-zero-day-as-browser-attacks-mount
