Tags:
Node Thumbnail

Google รายงานช่องโหว่ zero-day 2 ตัวบน Chrome และ Windows พร้อมแจ้งเตือนให้ผู้ใช้รีบอัพเดตทันที

ช่องโหว่แรก (CVE-2019-5786) เกิดใน FileReader API ของ Chrome ซึ่งเกิดจากความผิดพลาดในการจัดการหน่วยความจำ ทำให้ Chrome เข้าไปอ่านหน่วยความจำในตำแหน่งที่ไม่ใช้งานแล้ว เปิดช่องให้แฮกเกอร์สามารถรันโค้ดทางไกลได้ โดย Google ได้อัพเดต Chrome เวอร์ชัน 72.0.3626.121 เมื่อวันที่ 1 มีนาคมที่ผ่านมาเพื่ออุดช่องโหว่นี้แล้ว

ส่วนอีกช่องโหว่ที่ทีมความปลอดภัยของ Google ค้นพบเป็นช่องโหว่บนวินโดวส์ที่เป็นการใช้ NULL pointer ผิดพลาดในฟังก์ชั่น NtUserMNDragOver ในบางกรณี นำไปสู่การเพิ่มสิทธิของไดรเวอร์เคอร์เนล win32k.sys ซึ่งอาจทำให้โค้ดที่มุ่งร้ายหลบการตรวจสอบจากแซนด์บ็อกซ์ได้

เบื้องต้น Google เชื่อว่าช่องโหว่ดังกล่าวโจมตีได้เฉพาะ Windows 7 เนื่องจาก Windows 10 มีกระบวนการป้องกันไปแล้วและ ณ ตอนนี้มีรายงานการโจมตีเฉพาะบน Windows 7 32-bit เวอร์ชันเดียว ขณะที่ไมโครซอฟท์ระบุว่าเตรียมออกแพตช์ให้อยู่

ที่มา - Google Security Blog

Get latest news from Blognone

Comments

By: panurat2000
ContributorSymbianUbuntuIn Love
on 8 March 2019 - 10:57 #1100397
panurat2000's picture

นำไปสู่การเพิ่มสิทธิของไดร์เวอร์เคอร์เนล win32k.sys

ไดร์เวอร์ => ไดรเวอร์

ซึ่งอาจทำให้โค้ดที่มุ่งหลายหลบการตรวจสอบจากแซนด์บ็อกซ์ได้

มุ่งหลายหลบ ?

ขณะที่ไมโครซอฟต์ระบุว่าเตรียมออกแพตช์ให้อยู่

ไมโครซอฟต์ => ไมโครซอฟท์