ระวังภัย ช่องโหว่ในเบราวเซอร์ Google Chrome ผู้ไม่หวังดีสามารถควบคุมเครื่องจากระยะไกล (CVE-2019-5786) มีแพตช์แล้ว
วันที่ประกาศ: 8 มีนาคม 2562
ปรับปรุงล่าสุด: 8 มีนาคม 2562
เรื่อง: ระวังภัย ช่องโหว่ในเบราวเซอร์ Google Chrome ผู้ไม่หวังดีสามารถควบคุมเครื่องจากระยะไกล (CVE-2019-5786) มีแพตช์แล้ว
ประเภทภัยคุกคาม: Intrusions
ข้อมูลทั่วไป
เมื่อวันที่ 1 มีนาคม 2562 บริษัท Google ได้เผยแพร่อัปเดตของเบราว์เซอร์ Chrome โดยระบุว่ามีการแก้ไขช่องโหว่ระดับสูง (High) ที่ส่งผลให้ผู้ไม่หวังดีสามารถควบคุมเครื่องของเหยื่อได้จากระยะไกล ทาง Google แจ้งว่าพบการโจมตีผ่านช่องโหว่นี้แล้ว และแนะนำให้ผู้ใช้ติดตั้งอัปเดตโดยเร็ว ช่องโหว่นี้มีรหัส CVE-2019-5786
ช่องโหว่นี้เกิดจากฟังก์ชัน FileReader API ของ Google Chrome มีข้อผิดพลาดในการอ่านข้อมูลจากหน่วยความจำในตำแหน่งที่ไม่ได้ใช้งานแล้ว (Use-after-free) ส่งผลให้ผู้ไม่หวังดีสามารถหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่เพื่อให้นำโค้ดดังกล่าวมาประมวลผลได้ (Remote Code Execution) หากการโจมตีสำเร็จ ผู้ไม่หวังดีจะสามารถสั่งควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้จากระยะไกล อย่างไรก็ตาม ระดับสิทธิในการประมวลผลคำสั่งอันตรายจะเทียบเท่ากับระดับสิทธิของตัวเบราว์เซอร์
ผลกระทบ
เครื่องคอมพิวเตอร์ที่ใช้งานเว็บเบราว์เซอร์ Google Chrome อาจถูกผู้ไม่หวังดีสั่งประมวลผลคำสั่งอันตรายจากระยะไกลได้ หากเข้าไปยังเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่
ระบบที่ได้รับผลกระทบ
Google Chrome เวอร์ชันต่ำกว่า 72.0.3626.121 ช่องโหว่นี้มีผลกระทบทั้ง Windows, Mac และ Linux
ข้อแนะนำในการป้องกันและแก้ไข
อัปเดตเบราว์เซอร์ Google Chrome เป็นเวอร์ชัน 72.0.3626.121
อ้างอิง
- https://www.bleepingcomputer.com/news/security/google-chrome-update-patches-zero-day-actively-exploited-in-the-wild/
- https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html
- https://security.googleblog.com/2019/03/disclosing-vulnerabilities-to-protect.html
