top of page
  • รูปภาพนักเขียนSiriluk Sithsakonkul

กูเกิลโครมเวอร์ชั่นใหม่

อัปเดตเมื่อ 4 ก.ค.

Google เปิดตัว Chrome เวอร์ชัน 126.0.6478.114/115 สำหรับ Windows และ Mac พร้อมการแก้ไขช่องโหว่ที่สำคัญ

ภาพ พื้นหลังสีน้ำเงินเข้ม มีตัวหนังสือภาษาอังกฤษ บอกชื่อซอฟท์แวร์ Google Chrome 126.0.6478.114/115 พร้อมโลโก้ กูเกิลโครม
กูเกิล โครม เวอร์ชั่นใหม่ 126.0.6478.114/115

กูเกิลโครมเวอร์ชั่นใหม่ ประกาศใช้ 20 มิถุนายน 2024

อัปเดต เพื่อแก้ไขข้อบกพร่องด้านความปลอดภัยหลายรายการรวมถึงความสับสนของประเภทและการเข้าถึงหน่วยความจำเกินขอบเขต


Google ได้ประกาศ ออก Chrome เวอร์ชัน 126.0.6478.114/115 สำหรับระบบปฏิบัติการ Windows และระบบปฏิบัติการ Mac และ ออก Chrome เวอร์ชัน 126.0.6478.114 สำหรับระบบปฏิบัติการ Linux โดย เวอร์ชั่นนี้ได้ออกมาเพื่อแก้ไขช่องโหว่ที่อาจส่งผลให้ผู้ไม่หวังดีสามารถโจมตีช่องโหว่ของ Chrome เวอร์ชั่นที่ได้รับ ผลกระทบ และนำไปสู่การควบคุมเครื่องคอมพิวเตอร์ที่ใช้ Chrome เวอร์ชั่นที่ได้รับผลกระทบโดยได้รับสิทธิ์ระดับ เดียวกับผู้ใช้งานที่ถูกโจมตีในขณะนั้น และอาจส่งผลให้ผู้โจมตีสามารถติดตั้งโปรแกรม ดู การเปลี่ยนแปลง หรือลบข้อมูล หรือสร้างบัญชีผู้ใช้งานใหม่พร้อมกำหนดสิทธิ์ผู้ใช้งานเต็มรูปแบบ (Full User Rights) ทั้งนี้ขึ้นอยู่กับสิทธิ์ที่ ผู้ไม่หวังดีได้รับหลังจากโจมตีสำเร็จ โดยบัญชีผู้ใช้งานที่ได้รับการกำหนดค่าให้มีสิทธิ์ระดับต่ำในระบบอาจได้รับผล กระทบน้อยกว่าบัญชีผู้ใช้งานที่ได้รับการกำหนดสิทธิ์ระดับเป็นผู้ดูแลระบบ (Administrative User Rights)


Google ได้เปิดตัว Chrome เวอร์ชัน 126.0.6478.114/115 สำหรับ Windows และ Mac เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่สำคัญ ผู้ใช้ควรอัปเดตทันทีเพื่อป้องกันความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น การอัปเดตนี้แก้ไขช่องโหว่ดังต่อไปนี้:


  1. CVE-2024-6100 - ความสับสนของประเภทใน V8: ช่องโหว่ในเครื่องมือ V8 JavaScript ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดตามอำเภอใจได้ ความไม่แน่นอนนี้เกิดจากการจัดการประเภทของวัตถุที่ไม่ถูกต้อง ซึ่งนำไปสู่พฤติกรรมที่ไม่สามารถคาดเดาได้และการถูกโจมตีที่อาจเกิดขึ้น

  2. CVE-2024-6101 - การใช้งานที่ไม่เหมาะสมใน WebAssembly: ปัญหาการใช้งานที่ไม่เหมาะสมใน WebAssembly ที่อาจถูกใช้ในการทำให้เกิดพฤติกรรมที่ไม่คาดคิด หรือการข้ามการรักษาความปลอดภัย ข้อบกพร่องนี้เกิดจากการจัดการโมดูล WebAssembly ที่ไม่ถูกต้อง

  3. CVE-2024-6102 - การเข้าถึงหน่วยความจำเกินขอบเขตใน Dawn: ช่องโหว่ที่สำคัญในการเข้าถึงหน่วยความจำเกินขอบเขตใน Dawn ซึ่งเป็นไลบรารีกราฟิกที่ใช้โดย Chrome ที่อาจถูกใช้เพื่อเข้าถึงข้อมูลที่สำคัญหรือทำให้บริการล้มเหลว ปัญหานี้เกิดจากการตรวจสอบขอบเขตที่ไม่ถูกต้อง

  4. CVE-2024-6103 - การใช้หน่วยความจำหลังจากถูกปล่อยใน Dawn: ช่องโหว่การใช้หน่วยความจำหลังจากถูกปล่อยใน Dawn ที่อาจนำไปสู่การรันโค้ดตามอำเภอใจ ข้อบกพร่องนี้เกิดขึ้นเมื่อโปรแกรมยังคงใช้พอยน์เตอร์หลังจากที่ถูกปล่อยแล้ว ส่งผลให้เกิดพฤติกรรมที่ไม่สามารถคาดเดาได้และการถูกโจมตีที่อาจเกิดขึ้น


ช่องโหว่นี้ เป็นช่องโหว่ที่ก่อให้เกิดความเสี่ยงที่ยอมรับไม่ได้ (Unacceptable Risk) ต่อองค์กรที่ใช้งาน Chrome เวอร์ชั่นที่ได้รับผลกระทบ และต้องมีการดำเนินการต่าง ๆ เพื่อลดความเสี่ยงอย่างเร่งด่วนทั้งนี้ ในห้วง เวลาที่รายงานฉบับนี้ออก (19 มิ.ย.67 เวลา 14.00 น.) ยังไม่พบ Proof-of-Concept C


คำแนะนำในการแก้ไข: ผู้ใช้ควรอัปเดตเบราว์เซอร์ Chrome เป็นเวอร์ชัน 126.0.6478.114/115 โดยเร็วที่สุด ผู้จัดการไอทีควรบังคับใช้การอัปเดตนี้ในทุกระบบภายในเครือข่ายเพื่อให้แน่ใจว่ามีการป้องกันช่องโหว่เหล่านี้ การตรวจสอบและอัปเดตเป็นประจำเป็นสิ่งสำคัญสำหรับการรักษาความปลอดภัย


ผู้ใช้งานทั่วไปสามารถดำเนินการตรวจสอบเวอร์ชันของ Google Chrome ด้วยตนเองโดย

 Chrome menu > Help > About Google Chrome


กำหนดให้การทำงานของซอฟต์แวร์ทั้งหมด (โดยเฉพาะ Chrome) ได้รับสิทธิ์แบบ Non-privileged user (ซอฟต์แวร์ที่ไม่มีสิทธิ์ของผู้ดูแลระบบ (Administrative Privileges)) เพื่อลดผลกระทบจากการถูกโจมตี


จำกัดสิทธิ์ของบัญชีผู้ใช้งานระดับผู้ดูแลระบบ (Administrativ Privileges) เพื่อให้ใช้งานเฉพาะสำหรับการบริหารจัดการระบบในทรัพย์สินขององค์กรเท่านั้น สำหรับการใช้งานคอมพิวเตอร์ ทั่วไป เช่น การท่องอินเทอร์เน็ต อีเมล หรือการใช้ Application สำหรับการปฏิบัติงานโดยปกติ ขององค์กรให้ใช้บัญชีผู้ใช้งานที่ได้รับสิทธิ์แบบ Non-privileged User ขององค์กรเท่านั้น


เตือนผู้ใช้งานว่าไม่ควรเข้าชมเว็บไซต์ที่ไม่น่าเชื่อถือหรือติดตามลิงก์ที่มาจากแหล่งที่ไม่รู้จักหรือ

ไม่น่าเชื่อถือ


แจ้งและให้ความรู้แก่ผู้ใช้งานเกี่ยวกับภัยคุกคามที่เกิดจาก Link ที่อยู่ในเนื้อความของอีเมลหรือ

 ไฟล์แนบ โดยเฉพาะจากแหล่งที่ไม่น่าเชื่อถือ


ใช้หลักการ Principle of Least Privilege 2 กับระบบและ บริการทั้งหมดในองค์กร


ปรับใช้โซลูชันป้องกันการบุกรุกบนคอมพิวเตอร์ขององค์กรตามความเหมาะสมและ/หรือได้รับ

 การสนับสนุนจากองค์กร ตัวอย่างการใช้งาน อาทิ การใช้ Endpoint Detection and

 Response (EDR) หรือ Host-based IPS Agent เป็นต้น


Comments


bottom of page