Google ยังเปิดเผยช่องโหว่ของ Microsoft Windows ที่เกี่ยวข้อง
อ่าน 2 นาที
Google Chrome
ผู้เชี่ยวชาญด้านความปลอดภัยของ Google ได้แนะนำให้ผู้ใช้ Chrome ทุกคน ทันที อัปเดตเบราว์เซอร์ของพวกเขาเนื่องจากการโจมตีแบบ zero-day ที่มีข้อความ CVE-2019-5786 ได้รับการแก้ไขในเวอร์ชันล่าสุด 72.0.3626.121
การโจมตีแบบศูนย์วันคือช่องโหว่ด้านความปลอดภัยที่แฮกเกอร์ค้นพบและหาวิธีใช้ประโยชน์ได้ก่อนที่การพัฒนาความปลอดภัยจะสามารถแก้ไขได้ ดังนั้นคำว่า 'ศูนย์วัน' - การพัฒนาด้านความปลอดภัยจึงมีเวลาเป็นศูนย์ในการปิดช่องโหว่
ในตอนแรก Google ยังคงเงียบเกี่ยวกับรายละเอียดทางเทคนิคของช่องโหว่ด้านความปลอดภัยจนกระทั่ง“ ผู้ใช้ Chrome ส่วนใหญ่ได้รับการอัปเดตด้วยการแก้ไข ' สิ่งนี้น่าจะเป็นการป้องกันความเสียหายเพิ่มเติม
อย่างไรก็ตาม Google ยืนยันว่าช่องโหว่ด้านความปลอดภัยเป็นช่องโหว่ที่ใช้งานได้ฟรีในคอมโพเนนต์ FileReader ของเบราว์เซอร์ FileReader เป็น API มาตรฐานซึ่งช่วยให้เว็บแอปอ่านเนื้อหาของไฟล์แบบอะซิงโครนัสได้ เก็บไว้ในคอมพิวเตอร์ . Google ยังยืนยันว่าช่องโหว่ด้านความปลอดภัยถูกใช้โดยผู้คุกคามทางออนไลน์
สรุปได้ว่าช่องโหว่ด้านความปลอดภัยทำให้ผู้คุกคามได้รับสิทธิ์ในเบราว์เซอร์ Chrome และเรียกใช้รหัสโดยอำเภอใจ นอกแซนด์บ็อกซ์ . ภัยคุกคามส่งผลกระทบต่อระบบปฏิบัติการหลักทั้งหมด ( Windows, macOS และ Linux) .
มันต้องเป็นการหาประโยชน์ที่ร้ายแรงมากเพราะแม้แต่ Justin Schun หัวหน้าฝ่ายความปลอดภัยและวิศวกรรมเดสก์ท็อปของ Google Chrome ก็พูดบน Twitter
https://twitter.com/justinschuh/status/1103087046661267456
เป็นเรื่องแปลกที่ทีมรักษาความปลอดภัยจะเปิดเผยช่องโหว่ด้านความปลอดภัยแบบสาธารณะโดยทั่วไปแล้วพวกเขาจะทำการแก้ไขสิ่งต่างๆอย่างเงียบ ๆ ด้วยเหตุนี้ทวีตของ Justin จึงบ่งบอกถึงความรู้สึกเร่งด่วนที่ผู้ใช้ทุกคนจะต้องอัปเดต Chrome โดยเร็ว
Google มี อัปเดตรายละเอียดเพิ่มเติม เกี่ยวกับช่องโหว่และในความเป็นจริงยอมรับว่าเป็นช่องโหว่สองช่องที่แยกจากกันที่ใช้ประโยชน์ควบคู่กันไป
ช่องโหว่แรกอยู่ใน Chrome เองซึ่งอาศัยการใช้ประโยชน์จาก FileReader ดังที่เราได้อธิบายไว้ข้างต้น
ช่องโหว่ที่สองอยู่ใน Microsoft Windows เอง เป็นการเพิ่มสิทธิ์ในเครื่องใน Windows win32k.sys และสามารถใช้เป็นการหลบหนีจากแซนด์บ็อกซ์ความปลอดภัย ช่องโหว่ดังกล่าวเป็นการ dereference ตัวชี้ NULL ใน win32k! MNGetpItemFromIndex เมื่อมีการเรียกระบบ NtUserMNDragOver () ภายใต้สถานการณ์เฉพาะ
Google ตั้งข้อสังเกตว่าพวกเขาเปิดเผยช่องโหว่ดังกล่าวให้กับ Microsoft และเปิดเผยช่องโหว่ดังกล่าวต่อสาธารณะเนื่องจากเป็น ' ช่องโหว่ร้ายแรงใน Windows ที่เรารู้ว่าถูกโจมตีอย่างหนักในการโจมตีแบบกำหนดเป้าหมาย” .
มีรายงานว่า Microsoft กำลังดำเนินการแก้ไขและขอแนะนำให้ผู้ใช้อัปเกรดเป็น Windows 10 และใช้โปรแกรมแก้ไขจาก Microsoft ทันทีที่พร้อมใช้งาน
วิธีอัปเดต Google Chrome บนพีซี
ในแถบที่อยู่ของเบราว์เซอร์ของคุณให้พิมพ์ chrome: // settings / help หรือคลิกจุดสามจุดที่ด้านขวาบนแล้วเลือกการตั้งค่าตามที่ระบุในภาพด้านล่าง 
จากนั้นเลือกการตั้งค่า (แท่ง) จากมุมบนซ้ายและเลือกเกี่ยวกับ Chrome
เมื่ออยู่ในส่วนเกี่ยวกับ Google จะตรวจสอบการอัปเดตโดยอัตโนมัติและหากมีการอัปเดต Google จะแจ้งให้คุณทราบ
