ក្រុមហ៊ុន Google បានដាក់ចេញនូវការធ្វើបច្ចុប្បន្នភាពថ្មី ដើម្បីដោះស្រាយបញ្ហាចំនួន៧ នៅក្នុង Chrome Browser រួមមាន Zero-day ផងដែរដើម្បីទប់ស្កាត់នូវការកេងចំណេញ។កំហុសកូដ CVE-2023-6345 គឺជាបញ្ហាដ៏ធ្ងន់ធ្ងរដែលត្រូវបានពណ៌នាថា ជាបញ្ហានៃលំហូរដ៏គំហុគ (Integer Overflow Bug) នៅក្នុងកម្មវិធី Skia ដែលជា Open Source 2D Graphics Library។
ក្រុមអ្នកវិភាគការគំរាមកំហែង (TAG) របស់ក្រុមហ៊ុន Google បានរកឃើញនូវបញ្ហា និងបានរាយការណ៍កាលពីថ្ងៃទី២៤ ខែវិច្ឆិកា ឆ្នាំ២០២៣។ ចំពោះករណីនេះ ក្រុមហ៊ុនបានទទួលស្គាល់ថា បញ្ហា CVE-2023-6345 នៅតែបន្ត ប៉ុន្តែបានបញ្ឈប់ភ្លាមៗ បន្ទាប់ពីការចែករំលែកព័ត៌មាននៃការវាយប្រហារ និងហេគឃ័រប្រហែលជាប្រើបញ្ហានេះសម្រាប់ធ្វើការវាយប្រហារ (Real-World Attacks)។ គួរកត់សម្គាល់ផងដែរថា ក្រុមហ៊ុន Google បានបញ្ចេញ Patch សម្រាប់ដោះស្រាយបញ្ហាដ៏សម្បើមនេះនៅក្នុង CVE-2023-2136 កាលពីខែមេសា ឆ្នាំ២០២៣ ដែលត្រូវបានកេងចំណេញនិងចាត់ទុកថាជាបញ្ហា Zero-Day។
បញ្ហា CVE-2023-2136 ត្រូវបានអ្នកវិភាគរៀបរាប់ថា បានអនុញ្ញាតឱ្យហេគឃ័រដែលបានធ្វើការគ្រប់គ្រងហើយសម្រប់សម្រួលនូវ (Renderer) ដើម្បីដំណើរការអាចគេចចេញពីប្រអប់ការពារ Sandbox តាមរយៈ Crafted HTML page ពីចម្ងាយ។ ជាមួយនឹងបច្ចុប្បន្នភាពចុងក្រោយ ក្រុមហ៊ុនបានបង្ហាញពីបញ្ហា Zero-Days សរុបចំនួន៦ នៅក្នុង Chrome តាំងពីដើមឆ្នាំរួមមាន៖
– CVE-2023-2033 (CVSS score: 8.8): Type confusion នៅក្នុង V8
– CVE-2023-2136 (CVSS score: 9.6): Integer overflow នៅក្នុង Skia
– CVE-2023-3079 (CVSS score: 8.8): Type confusion នៅក្នុង V8
– CVE-2023-4863 (CVSS score: 8.8): Heap buffer overflow នៅក្នុង WebP
– CVE-2023-5217 (CVSS score: 8.8): Heap buffer overflow នៅក្នុង vp8 និងកំពុងតែ encode ក្នុង libvpx
អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យ Upgrade ទៅកាន់ Chrome ជំនាន់ 119.0.6045.199/.200 សម្រាប់ប្រព័ន្ធ Windows និង 119.0.6045.199 សម្រាប់ប្រព័ន្ធ macOS និងលីនុច ដើម្បីកាត់បន្ថយហានិភ័យ។ អ្នកប្រើ Chromium-Based Browsers ដូចជា Microsoft Edge, Brave, Opera និង Vivaldi ក៏ត្រូវបានណែនាំឱ្យជួសជុលផងដែរនៅពេលដែលមានការផ្តល់ជូននូវដំណោះស្រាយនាពេលខាងមុខ៕
https://thehackernews.com/2023/11/zero-day-alert-google-chrome-under.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៩ ខែវិច្ឆិកា ឆ្នាំ២០២៣
