អ្នកជំនាញបានបង្ហាញពីបញ្ហានៅក្នុង Dev Channel របស់ Google Chrome

0

បញ្ហាបានកើតឡើងនៅក្នុង patched ថ្មីៗនេះ ដែលអាចបណ្តាលឱ្យមានការបញ្ជាកូដពីចម្ងាយនៅក្នុង V8 JavaScript and WebAssembly engine ដែលត្រូវបានប្រើនៅក្នុង Google Chrome and Chromium-based browsers។

បញ្ហាមានពាក់ព័ន្ធនឹង use-after-free នៅក្នុងជម្រើសនៃការណែនាំ ដែលអាចអនុញ្ញាតឱ្យ ”ហេគឃ័រប្រតិបត្តិកូដនៅក្នុង context នៃ browser”។

បញ្ហាត្រូវបានរកឃើញនៅក្នុង Dev channel version របស់ Chrome 101 ដោយអ្នកស្រាវជ្រាវសិង្ហបូរី ឈ្មោះ Weibo Wang រួចត្រូវបានដោះស្រាយដោយក្រុមហ៊ុនស្ងាត់ៗ។

Wang បានថ្លែងថា៖ “បញ្ហានេះកើតឡើងនៅក្នុងតំណាក់កាលនៃការជ្រើសរើសការណែនាំ ដែលការណែនាំនោះខុស ហើយប៉ះពាល់ទៅដល់ដំណើរការអង្គចងចាំ”។

បន្ទាប់ពី use-after-free មានបញ្ហាកើតឡើង ជាមួយនឹង previous-freed memory ត្រូវបានដំណើរការ រួមមាន undefined behavior និងបណ្តាលឱ្យកម្មវិធី crash, ប្រើទិន្នន័យ corrupted ឬក៏ប្រតិបត្តិកូដតាមអំពើចិត្ត។

អ្វីដែលគួរឱ្យកត់សម្គាល់នោះគឺ បញ្ហាអាចត្រូវបានបញ្ជាតាមរយៈគេហទំព័រដើម្បីឆ្លងកាត់ការរឹតបណ្តឹងផ្នែកសុវត្ថិភាព និងដំណើរការកូដតាមអំពើចិត្តទៅកាន់ប្រព័ន្ធគោលដៅ។

បញ្ហានេះអាចកាន់តែអាក្រក់ឡើង នៅក្នុងការប្រើបច្ចេកទេស heap spraying technique ដែលនាំឱ្យមានការយល់ច្រលំ បើយោងតាមសំដីរបស់ Wang។ គាត់បានពន្យល់ថា៖ “បញ្ហាបានបើកឱ្យហេគឃ័រគ្រប់គ្រងតួនាទី pointer ឬក៏សរសេរកូដនៅក្នុងអង្គចងចាំតាមចិត្ត និងចុងក្រោយប្រតិបត្តិការ”។

ក្រុមហ៊ុននៅមិនទាន់បង្ហាញពីបញ្ហាតាមរយៈ Chromiun bug tracker ឱ្យទូលំទូលាយពីការតំឡើង patched នៅឡើយទេ។ Google ក៏មិនទាន់បានកំណត់ CVE IDs ដែលជាការគំរាមកំហែង ដែលរកឃើញនៅក្នុង non-stable Chrome channels នៅឡើយដែរ។

អ្នកប្រើប្រាស់ Chrome ជាពិសេសអ្នកបង្កើត ដែលប្រើ Chrome ជំនាន់ Dev edition សម្រាប់ការ testing ដែលធានាបានថាកម្មវិធីនោះជាជំនាន់ចុងក្រោយ ជាមួយនឹងការផ្លាស់ប្តូរ API គួរតែធ្វើបច្ចុប្បន្នភាពទៅកាន់ជំនាន់ចុងក្រោយ។

នេះមិនមែនជាលើកដំបូងទេ ដែលមានបញ្ហាកើតមាន use-after-free នៅក្នុង V8. Google នៅក្នុងឆ្នាំ២០២១ ក៏បានបង្ហាញថាមានបញ្ហាជាច្រើននៅក្នុង Chrome ដែលត្រូវបានរកឃើញដែរ ។ នៅក្នុងឆ្នាំនេះ វាក៏បានដោះស្រាយបញ្ហា use-after-free ដែលរកឃើញនៅក្នុង Animation component។

ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៧ ខែឧសភា ឆ្នាំ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា

LEAVE A REPLY

Please enter your comment!
Please enter your name here