Google เผยช่องโหว่ Zero-day กระทบผู้ใช้งาน Windows 7 และ Windows 10 ถูกใช้โจมตีจริงแล้ว

ทีมงานจาก Google ได้เผยแพร่รายงานช่องโหว่ของ Zero-days ใน Windows และ Chrome ซึ่งพบว่าคนร้ายใช้ควบคู่กันเพื่อโจมตี

Google ได้พบคนร้ายใช้งานช่องโหว่ Zero-day 2 รายการ ซึ่งเป็นของ Chrome และ Windows ควบคู่กันเพื่อเข้าโจมตีเหยื่อ

• CVE-2020-15999 (ติดตามย้อนหลังได้จากข่าวของ TechTalkthai) – เป็นช่องโหว่ที่ถูกใช้ในขั้นแรกเพื่อการลอบรันโค้ดอันตรายใน Chrome ปัจจุบันได้รับการแพตช์แล้วในเวอร์ชัน 86.0.4240.111
• CVE-2020-17087 – ช่องโหว่ขั้นที่สองเพื่อช่วยให้คนร้ายสามารถหลุดจาก Secure Container ของ Chrome ได้ ซึ่งหลังจากแจ้งไปแล้ว 7 วัน Google ได้เปิดเผยรายละเอียดพร้อมโค้ดสาธิตไว้ที่นี่ ในด้านของผลกระทบนั้นเกี่ยวข้องทั้ง Windows 7 และ Windows 10 ปัจจุบันยังไม่การแพตช์แต่คาดว่าอาทิตย์หน้า จะปรากฎในชุดแพตช์ประจำเดือน

ที่มา : https://www.zdnet.com/article/google-discloses-windows-zero-day-exploited-in-the-wild/

from:https://www.techtalkthai.com/google-reveals-zero-day-effect-windows-were-exploited-with-chrome-flaw/

พบช่องโหว่ Zero-day บน Chrome ถูกใช้งานจริงแล้ว แนะผู้ใช้เร่งอัปเดตแพตช์

ทีมงาน Google ได้ออกแพตช์ให้แก่ Chrome หลังจากพบการโจมตีช่องโหว่ Zero-day ในไลบรารี FreeType

ช่องโหว่ Zero-day ซึ่งถูกใช้งานจริงจากคนร้ายแล้ว โดยมีหมายเลขอ้างอิง CVE-2020-15999 เป็นบั๊ก Memory Corruption ในไลบรารีฟอนต์ FreeType ทั้งนี้ถูกใช้ใน Chrome เวอร์ชันปกติด้วย ปัจจุบันมีการแจ้งเตือนผู้เกี่ยวข้องและออกแพตช์ใน Chrome 86.0.4240.111 ที่ภายในอัปเดตไลบรารีเป็น FreeType 2.10.4 นั่นเอง

ตอนนี้ยังไม่มีการเผยรายละเอียดเชิงเทคนิคเพราะเกรงว่าเป็นการชี้โพรง แต่หลังจากนี้พักใหญ่ทางทีมงาน Google คงอธิบายไว้ในบล็อกครับ

ที่มา : https://www.zdnet.com/article/google-releases-chrome-security-update-to-patch-actively-exploited-zero-day/

from:https://www.techtalkthai.com/zero-day-was-explioted-chrome-86-cve-2020-15999/