ฟังก์ชัน Chrome OS กับโทรศัพท์ Android เช่น MacOS ใช้งานได้กับ iPhone
นักพัฒนาเว็บเบราว์เซอร์ Google Chrome ได้ออกอัปเดตฉุกเฉินในวันฮาโลวีน การอัปเดตมีไว้สำหรับเว็บเบราว์เซอร์ยอดนิยมทุกเวอร์ชันที่เสถียรในทุกแพลตฟอร์มซึ่งเป็นตัวบ่งชี้ที่ชัดเจนถึงความรุนแรงของการอัปเดต เห็นได้ชัดว่าการอัปเดตความปลอดภัยมีจุดมุ่งหมายเพื่อต่อต้านช่องโหว่ด้านความปลอดภัยไม่เพียงหนึ่งเดียว แต่เป็นสองช่องโหว่ สิ่งที่น่ากังวลกว่านั้นคือหนึ่งในข้อบกพร่องด้านความปลอดภัยมีก ศูนย์วันใช้ประโยชน์จากป่าอยู่แล้ว .
Kaspersky Exploit Prevention ซึ่งเป็นส่วนประกอบการตรวจจับภัยคุกคามที่ใช้งานอยู่ของผลิตภัณฑ์ Kaspersky พบช่องโหว่ใหม่ที่ไม่รู้จักสำหรับเบราว์เซอร์ Chrome ของ Google ทีมงานได้รายงานการค้นพบไปยังทีมรักษาความปลอดภัยของ Google Chrome และรวม Proof of Concept (PoC) ด้วย หลังจากการตรวจสอบอย่างรวดเร็ว Google มั่นใจอย่างชัดเจนว่ามีช่องโหว่ 0-Day ที่ใช้งานอยู่ในเว็บเบราว์เซอร์ Google Chrome หลังจากส่งต่อปัญหาไปยังลำดับความสำคัญสูงสุดอย่างรวดเร็ว Google ได้ออกอัปเดตฉุกเฉินสำหรับเว็บเบราว์เซอร์ ช่องโหว่ด้านความปลอดภัยได้รับการติดแท็กเป็น 'High Severity 0-Day Exploit' และส่งผลกระทบต่อเบราว์เซอร์ Chrome ในทุกระบบปฏิบัติการที่แตกต่างกัน
Kaspersky ตรวจพบ 'Exploit.Win32.Generic' ช่องโหว่ 0 วันซึ่งมีผลต่อเบราว์เซอร์ Google Chrome ทุกเวอร์ชัน:
Google ยืนยันในวันฮัลโลวีนว่าเบราว์เซอร์ Chrome บนเดสก์ท็อป 'แชนเนลที่เสถียร' กำลังได้รับการอัปเดตเป็นเวอร์ชัน 78.0.3904.87 บนแพลตฟอร์ม Windows, Mac และ Linux ซึ่งแตกต่างจากการอัปเดตที่เริ่มทยอยเปิดตัวการอัปเดตล่าสุดควรมีการปรับใช้ที่ค่อนข้างเร่ง ดังนั้นจึงเป็นเรื่องสำคัญที่ผู้ใช้เบราว์เซอร์ Chrome จะต้องแน่ใจว่าพวกเขาติดตั้งการอัปเดตล่าสุดโดยไม่ล่าช้า ในข้อความที่ค่อนข้างคลุมเครือ Google ได้ออกคำแนะนำที่กล่าวว่า
“ การเข้าถึงรายละเอียดข้อบกพร่องและลิงก์อาจถูก จำกัด ไว้จนกว่าผู้ใช้ส่วนใหญ่จะได้รับการอัปเดตด้วยการแก้ไข นอกจากนี้เราจะยังคงมีข้อ จำกัด หากมีข้อบกพร่องในไลบรารีของบุคคลที่สามซึ่งโครงการอื่น ๆ ขึ้นอยู่กับลักษณะเดียวกัน แต่ยังไม่ได้รับการแก้ไข”
การแจ้งเตือน 0 วัน! #Google กำลังเตือน Windows, Mac, # ลินุกซ์ ให้ผู้ใช้อัปเดตไฟล์ #โครเมียม เบราว์เซอร์ (ถึง 78.0.3904.87) ทันทีเนื่องจากช่องโหว่ด้านความปลอดภัย (CVE-2019-13720) ที่ผู้โจมตีกำลังใช้ประโยชน์อย่างแข็งขันเพื่อแย่งชิงคอมพิวเตอร์ https://t.co/tw7Msba4kb #infosec pic.twitter.com/QJj7ojqEDU
- ข่าวแฮ็กเกอร์ (@TheHackersNews) 1 พฤศจิกายน 2019
แม้ว่า Google จะค่อนข้างไม่ลงรอยกันเกี่ยวกับช่องโหว่ด้านความปลอดภัยภายใน Chrome แต่ Kaspersky ได้ตั้งชื่อการโจมตีอย่างไม่เป็นทางการว่า 'Operation WizardOpium' ในทางเทคนิคแล้วการโจมตีคือ Exploit.Win32.Generic ผู้ผลิตโปรแกรมป้องกันไวรัสไฟร์วอลล์และผลิตภัณฑ์รักษาความปลอดภัยเครือข่ายอื่น ๆ ยังคงสำรวจศักยภาพของการโจมตีและตัวตนของอาชญากรไซเบอร์ที่อาจเปิดการโจมตี ทีมงานอ้างว่ามีรหัสหมีบางตัว มีความคล้ายคลึงกับการโจมตีของลาซารัส แต่ไม่มีการตรวจสอบอะไร
จากข้อมูลของ Kaspersky การโจมตีดูเหมือนจะขุดข้อมูลได้มากที่สุดโดยการโหลดสคริปต์การทำโปรไฟล์ที่เป็นอันตราย เห็นได้ชัดว่าช่องโหว่ 0 วันถูกใช้เพื่อแทรกโค้ด JavaScript ที่เป็นอันตราย การโจมตีค่อนข้างซับซ้อนเหมือนกัน ทำการตรวจสอบหลายครั้งเพื่อให้แน่ใจว่าระบบอาจติดไวรัสหรือมีช่องโหว่ . หลังจากตรวจสอบคุณสมบัติแล้วการโจมตีจะดำเนินต่อไปเพื่อให้ได้ข้อมูลที่แท้จริงและปรับใช้สิ่งเดียวกัน
Google รับทราบการใช้ประโยชน์จาก Chrome Zero-Day และออกการอัปเดตฉุกเฉินเพื่อต่อต้านภัยคุกคาม:
Google ได้ตั้งข้อสังเกตว่าไฟล์ การหาประโยชน์ในปัจจุบันมีอยู่ในป่า . บริษัท เสริมว่าช่องโหว่ดังกล่าวมีไว้สำหรับช่องโหว่ CVE-2019-13720 อนึ่งมีช่องโหว่ด้านความปลอดภัยอีก 1 ช่องซึ่งได้รับการติดแท็กอย่างเป็นทางการว่า CVE-2019-13721 ข้อบกพร่องด้านความปลอดภัยทั้งสองเป็นช่องโหว่“ ใช้งานได้ทันที” ซึ่งใช้ประโยชน์จากความเสียหายของหน่วยความจำเพื่อเพิ่มสิทธิ์ในระบบที่ถูกโจมตี เห็นได้ชัดว่า CVE-2019-13720 ช่องโหว่ด้านความปลอดภัยกำลังถูกใช้อย่างไม่หยุดยั้ง . มีรายงานว่าส่งผลกระทบต่อคอมโพเนนต์เสียงของเว็บเบราว์เซอร์ Chrome
เอริก @DonutsInc ได้ชี้ให้เห็นช่องโหว่ใน Chrome เพียงแค่ปิดและเปิดเบราว์เซอร์ของคุณอีกครั้งระบบจะตรวจหาการอัปเดตที่จำเป็นและติดตั้งโดยอัตโนมัติ https://t.co/4NKJXfdGxw
- name.com (@namedotcom) 1 พฤศจิกายน 2019
เมื่อรับทราบถึงภัยคุกคามด้านความปลอดภัย Google จึงออกการอัปเดตฉุกเฉินสำหรับเบราว์เซอร์ Chrome แต่ดูเหมือนว่าการอัปเดตจะ จำกัด เฉพาะช่องสัญญาณที่เสถียรในปัจจุบัน มีรายงานว่าการอัปเดตมีเฉพาะโปรแกรมแก้ไขสำหรับข้อบกพร่อง Kaspersky มีส่วนร่วมอย่างแข็งขันในการตรวจสอบความเสี่ยงจากภัยคุกคาม แต่ยังไม่ชัดเจนในทันทีว่าใครบ้างที่อาจใช้ประโยชน์จากช่องโหว่ 0 วัน
แท็ก โครเมียม google