Google ประกาศแพตช์ช่องโหว่ Zero-day ที่ถูกโจมตีแล้วให้ Chrome

สำหรับผู้ใช้งาน Chrome มีเวอร์ชันอัปเดตด้าน Security เนื่องจากทีมงาน Google พบช่องโหว่ Zero-day ที่ถูกใช้โจมตีจริงแล้ว

CVE-2020-16009 ช่องโหว่ Zero-day เกิดขึ้นกับ V8 หรือโปรเจ็คโอเพ่นซอร์สด้าน JavaScript และ WebAssembly ในภาษา C++ ของตน ที่ใช้งานกันใน Chrome และ Node.js โดยทีมงานวิเคราะห์ภัยคุกคามของ Google (Threat Analysis) พบการโจมตีและแจ้ง Project Zero เข้ามาอีกที ปัจจุบันไม่มีการเปิดเผยถึงคนร้ายเพราะจะรอการแพตช์ให้แน่ใจเสียก่อน อย่างไรก็ดีผู้เกี่ยวข้องควรอัปเดตกันได้แล้วในเวอร์ชัน 86.0.4240.183 ทั้งบน Mac, Linux และ Windows 

นอกจากนี้ในเวอร์ชันใหม่ยังมีการอัปเดตช่องโหว่อื่นดังนี้

• CVE-2020-16010 – กระทบกับ Chrome บน Android ที่ช่วยให้เกิด Sandbox Escape
• CVE-2020-16004 – Use after free ใน User Interface
• CVE-2020-16005 – การ Enforcement ใน ANGLE ไม่ดีพอ
• CVE-2020-16006 – การ Implement V8 ไม่เหมาะสม
• CVE-2020-16007 – ตรวจสอบข้อมูลไม่ดีพอในการติดตั้ง
• CVE-2020-16008 – Stack Buffer Overflow ใน WebRTC
• CVE-2020-16011 – Heap Buffer Overflow ใน UI บน Windows 

ที่มา : https://www.bleepingcomputer.com/news/security/google-patches-one-more-actively-exploited-chrome-zero-day/

from:https://www.techtalkthai.com/google-patch-another-zero-day-cve-2020-16009/

พบช่องโหว่ Zero-day บน Chrome ถูกใช้งานจริงแล้ว แนะผู้ใช้เร่งอัปเดตแพตช์

ทีมงาน Google ได้ออกแพตช์ให้แก่ Chrome หลังจากพบการโจมตีช่องโหว่ Zero-day ในไลบรารี FreeType

ช่องโหว่ Zero-day ซึ่งถูกใช้งานจริงจากคนร้ายแล้ว โดยมีหมายเลขอ้างอิง CVE-2020-15999 เป็นบั๊ก Memory Corruption ในไลบรารีฟอนต์ FreeType ทั้งนี้ถูกใช้ใน Chrome เวอร์ชันปกติด้วย ปัจจุบันมีการแจ้งเตือนผู้เกี่ยวข้องและออกแพตช์ใน Chrome 86.0.4240.111 ที่ภายในอัปเดตไลบรารีเป็น FreeType 2.10.4 นั่นเอง

ตอนนี้ยังไม่มีการเผยรายละเอียดเชิงเทคนิคเพราะเกรงว่าเป็นการชี้โพรง แต่หลังจากนี้พักใหญ่ทางทีมงาน Google คงอธิบายไว้ในบล็อกครับ

ที่มา : https://www.zdnet.com/article/google-releases-chrome-security-update-to-patch-actively-exploited-zero-day/

from:https://www.techtalkthai.com/zero-day-was-explioted-chrome-86-cve-2020-15999/

Chrome 86 ออกแล้ว!

Google ได้ปล่อย Chrome เวอร์ชัน 86 ออกมาแล้ว โดยมีการเพิ่มฟีเจอร์ใหม่หลายด้านดังนี้

1.) รีเซ็ตรหัสผ่านง่ายขึ้น

หาก Chrome ทราบแล้วว่ารหัสผ่านที่คุณบันทึกไว้รั่วไหล จะมีปุ่มเปลี่ยนรหัสปรากฏขึ้น ซึ่งจะนำท่านตรงสู่หน้ารีเซ็ตรหัสของเว็บไซต์ทันที อย่างไรก็ดีจะทำได้กับ URL ที่เป็นที่กว้างขวางเท่านั้น เช่น Facebook Reset เป็นต้น

2.) บีบการใช้ทรัพยากรของ Tab

Tab ที่เปิดไว้เป็น Background แต่ไม่ได้เล่นเกิน 5 นาทีหรือมากกว่า จะมีการถูกจำกัดการใช้ CPU ได้สูงสุดแค่ 1% แล้วค่อยปลุกขึ้นมาทำงานต่อเมื่อผู้ชมกลับมา

3.) แสดงเตือน Mix Content แรงขึ้น

เว็บไซต์ที่เริ่มต้นเป็น HTTPS แต่เนื้อหามี Executable Object ประเภท .exe, .apk, .zip, .iso ที่วิ่งบน HTTP จะถูกบล้อกทันที พร้อมกับเตือนว่าสิ่งที่จะดาวน์โหลดเข้ามาไม่ปลอดภัย นอกจากนี้สำหรับการเข้าเว็บที่เป็น Mix จะมีการเตือนผู้ใช้ก่อนอย่างชัดเจนว่าไม่ปลอดภัย จะกลับก่อนไหม

4.) พัฒนาการทำไฮไลต์มากยิ่งขึ้น

สำหรับผู้ใช้งาน Chrome ที่มีการใช้คียร์บอร์ดเพื่อนำทางไปแต่ละจุดหรือเทคโนโลยีช่วยเหลือผู้บกพร่อง จะมีการแสดงการโฟกัสได้ดียิ่งขึ้น

เครดิต : Howtogeek

5.) ผู้ใช้งาน Android และ iOS สามารถทำ Safety Check ได้แล้ว

ฟีเจอร์ Safety Check คือการพยายามตรวจเช็คบราวน์เซอร์และข้อมูลที่บันทึกว่ายังไม่ได้ถูกแทรกแซง ซึ่งก่อนหน้านี้ออกมาบน Desktop ล่าสุดผู้ใช้งาน Android และ iOS ก็เปิดใช้งานได้แล้ว

เครดิต : Bleepingcomputer

ที่มา : https://www.bleepingcomputer.com/news/google/chrome-86-rolls-out-with-massive-user-security-enhancements/ และ https://www.howtogeek.com/694105/what%e2%80%99s-new-in-chrome-86-available-today/

from:https://www.techtalkthai.com/chrome-86-has-been-released/