Google เปิดตัว Chrome เวอร์ชัน 126.0.6478.114/115 สำหรับ Windows และ Mac พร้อมการแก้ไขช่องโหว่ที่สำคัญ
กูเกิลโครมเวอร์ชั่นใหม่ ประกาศใช้ 20 มิถุนายน 2024
อัปเดต เพื่อแก้ไขข้อบกพร่องด้านความปลอดภัยหลายรายการรวมถึงความสับสนของประเภทและการเข้าถึงหน่วยความจำเกินขอบเขต
Google ได้ประกาศ ออก Chrome เวอร์ชัน 126.0.6478.114/115 สำหรับระบบปฏิบัติการ Windows และระบบปฏิบัติการ Mac และ ออก Chrome เวอร์ชัน 126.0.6478.114 สำหรับระบบปฏิบัติการ Linux โดย เวอร์ชั่นนี้ได้ออกมาเพื่อแก้ไขช่องโหว่ที่อาจส่งผลให้ผู้ไม่หวังดีสามารถโจมตีช่องโหว่ของ Chrome เวอร์ชั่นที่ได้รับ ผลกระทบ และนำไปสู่การควบคุมเครื่องคอมพิวเตอร์ที่ใช้ Chrome เวอร์ชั่นที่ได้รับผลกระทบโดยได้รับสิทธิ์ระดับ เดียวกับผู้ใช้งานที่ถูกโจมตีในขณะนั้น และอาจส่งผลให้ผู้โจมตีสามารถติดตั้งโปรแกรม ดู การเปลี่ยนแปลง หรือลบข้อมูล หรือสร้างบัญชีผู้ใช้งานใหม่พร้อมกำหนดสิทธิ์ผู้ใช้งานเต็มรูปแบบ (Full User Rights) ทั้งนี้ขึ้นอยู่กับสิทธิ์ที่ ผู้ไม่หวังดีได้รับหลังจากโจมตีสำเร็จ โดยบัญชีผู้ใช้งานที่ได้รับการกำหนดค่าให้มีสิทธิ์ระดับต่ำในระบบอาจได้รับผล กระทบน้อยกว่าบัญชีผู้ใช้งานที่ได้รับการกำหนดสิทธิ์ระดับเป็นผู้ดูแลระบบ (Administrative User Rights)
Google ได้เปิดตัว Chrome เวอร์ชัน 126.0.6478.114/115 สำหรับ Windows และ Mac เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่สำคัญ ผู้ใช้ควรอัปเดตทันทีเพื่อป้องกันความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น การอัปเดตนี้แก้ไขช่องโหว่ดังต่อไปนี้:
CVE-2024-6100 - ความสับสนของประเภทใน V8: ช่องโหว่ในเครื่องมือ V8 JavaScript ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดตามอำเภอใจได้ ความไม่แน่นอนนี้เกิดจากการจัดการประเภทของวัตถุที่ไม่ถูกต้อง ซึ่งนำไปสู่พฤติกรรมที่ไม่สามารถคาดเดาได้และการถูกโจมตีที่อาจเกิดขึ้น
CVE-2024-6101 - การใช้งานที่ไม่เหมาะสมใน WebAssembly: ปัญหาการใช้งานที่ไม่เหมาะสมใน WebAssembly ที่อาจถูกใช้ในการทำให้เกิดพฤติกรรมที่ไม่คาดคิด หรือการข้ามการรักษาความปลอดภัย ข้อบกพร่องนี้เกิดจากการจัดการโมดูล WebAssembly ที่ไม่ถูกต้อง
CVE-2024-6102 - การเข้าถึงหน่วยความจำเกินขอบเขตใน Dawn: ช่องโหว่ที่สำคัญในการเข้าถึงหน่วยความจำเกินขอบเขตใน Dawn ซึ่งเป็นไลบรารีกราฟิกที่ใช้โดย Chrome ที่อาจถูกใช้เพื่อเข้าถึงข้อมูลที่สำคัญหรือทำให้บริการล้มเหลว ปัญหานี้เกิดจากการตรวจสอบขอบเขตที่ไม่ถูกต้อง
CVE-2024-6103 - การใช้หน่วยความจำหลังจากถูกปล่อยใน Dawn: ช่องโหว่การใช้หน่วยความจำหลังจากถูกปล่อยใน Dawn ที่อาจนำไปสู่การรันโค้ดตามอำเภอใจ ข้อบกพร่องนี้เกิดขึ้นเมื่อโปรแกรมยังคงใช้พอยน์เตอร์หลังจากที่ถูกปล่อยแล้ว ส่งผลให้เกิดพฤติกรรมที่ไม่สามารถคาดเดาได้และการถูกโจมตีที่อาจเกิดขึ้น
ช่องโหว่นี้ เป็นช่องโหว่ที่ก่อให้เกิดความเสี่ยงที่ยอมรับไม่ได้ (Unacceptable Risk) ต่อองค์กรที่ใช้งาน Chrome เวอร์ชั่นที่ได้รับผลกระทบ และต้องมีการดำเนินการต่าง ๆ เพื่อลดความเสี่ยงอย่างเร่งด่วนทั้งนี้ ในห้วง เวลาที่รายงานฉบับนี้ออก (19 มิ.ย.67 เวลา 14.00 น.) ยังไม่พบ Proof-of-Concept C
คำแนะนำในการแก้ไข: ผู้ใช้ควรอัปเดตเบราว์เซอร์ Chrome เป็นเวอร์ชัน 126.0.6478.114/115 โดยเร็วที่สุด ผู้จัดการไอทีควรบังคับใช้การอัปเดตนี้ในทุกระบบภายในเครือข่ายเพื่อให้แน่ใจว่ามีการป้องกันช่องโหว่เหล่านี้ การตรวจสอบและอัปเดตเป็นประจำเป็นสิ่งสำคัญสำหรับการรักษาความปลอดภัย
ผู้ใช้งานทั่วไปสามารถดำเนินการตรวจสอบเวอร์ชันของ Google Chrome ด้วยตนเองโดย
Chrome menu > Help > About Google Chrome
กำหนดให้การทำงานของซอฟต์แวร์ทั้งหมด (โดยเฉพาะ Chrome) ได้รับสิทธิ์แบบ Non-privileged user (ซอฟต์แวร์ที่ไม่มีสิทธิ์ของผู้ดูแลระบบ (Administrative Privileges)) เพื่อลดผลกระทบจากการถูกโจมตี
จำกัดสิทธิ์ของบัญชีผู้ใช้งานระดับผู้ดูแลระบบ (Administrativ Privileges) เพื่อให้ใช้งานเฉพาะสำหรับการบริหารจัดการระบบในทรัพย์สินขององค์กรเท่านั้น สำหรับการใช้งานคอมพิวเตอร์ ทั่วไป เช่น การท่องอินเทอร์เน็ต อีเมล หรือการใช้ Application สำหรับการปฏิบัติงานโดยปกติ ขององค์กรให้ใช้บัญชีผู้ใช้งานที่ได้รับสิทธิ์แบบ Non-privileged User ขององค์กรเท่านั้น
เตือนผู้ใช้งานว่าไม่ควรเข้าชมเว็บไซต์ที่ไม่น่าเชื่อถือหรือติดตามลิงก์ที่มาจากแหล่งที่ไม่รู้จักหรือ
ไม่น่าเชื่อถือ
แจ้งและให้ความรู้แก่ผู้ใช้งานเกี่ยวกับภัยคุกคามที่เกิดจาก Link ที่อยู่ในเนื้อความของอีเมลหรือ
ไฟล์แนบ โดยเฉพาะจากแหล่งที่ไม่น่าเชื่อถือ
ใช้หลักการ Principle of Least Privilege 2 กับระบบและ บริการทั้งหมดในองค์กร
ปรับใช้โซลูชันป้องกันการบุกรุกบนคอมพิวเตอร์ขององค์กรตามความเหมาะสมและ/หรือได้รับ
การสนับสนุนจากองค์กร ตัวอย่างการใช้งาน อาทิ การใช้ Endpoint Detection and
Response (EDR) หรือ Host-based IPS Agent เป็นต้น
Comments