Google เผย 2 ช่องโหว่ร้ายแรงบน Chrome และ Windows เตือนผู้ใช้อัพเดตด่วน มีการโจมตีแล้ว
Google รายงานช่องโหว่ zero-day 2 ตัวบน Chrome และ Windows พร้อมแจ้งเตือนให้ผู้ใช้รีบอัพเดตทันที
ช่องโหว่แรก (CVE-2019-5786) เกิดใน FileReader API ของ Chrome ซึ่งเกิดจากความผิดพลาดในการจัดการหน่วยความจำ ทำให้ Chrome เข้าไปอ่านหน่วยความจำในตำแหน่งที่ไม่ใช้งานแล้ว เปิดช่องให้แฮกเกอร์สามารถรันโค้ดทางไกลได้ โดย Google ได้อัพเดต Chrome เวอร์ชัน 72.0.3626.121 เมื่อวันที่ 1 มีนาคมที่ผ่านมาเพื่ออุดช่องโหว่นี้แล้ว
ส่วนอีกช่องโหว่ที่ทีมความปลอดภัยของ Google ค้นพบเป็นช่องโหว่บนวินโดวส์ที่เป็นการใช้ NULL pointer ผิดพลาดในฟังก์ชั่น NtUserMNDragOver ในบางกรณี นำไปสู่การเพิ่มสิทธิของไดรเวอร์เคอร์เนล win32k.sys ซึ่งอาจทำให้โค้ดที่มุ่งร้ายหลบการตรวจสอบจากแซนด์บ็อกซ์ได้
เบื้องต้น Google เชื่อว่าช่องโหว่ดังกล่าวโจมตีได้เฉพาะ Windows 7 เนื่องจาก Windows 10 มีกระบวนการป้องกันไปแล้วและ ณ ตอนนี้มีรายงานการโจมตีเฉพาะบน Windows 7 32-bit เวอร์ชันเดียว ขณะที่ไมโครซอฟท์ระบุว่าเตรียมออกแพตช์ให้อยู่
ที่มา – blognone, Google Security Blog