Google Chrome อัปเดตด่วน หลังไวรัสแฝงคุมทางไกล ดูดรหัส-คุมเครื่อง

Google ได้ออกอัปเดตช่องโหว่ใหม่อย่างเร่งด่วนที่ค้นพบถือเป็นช่องโหว่แบบ Zero-day ครั้งที่แปดที่ระบุสำหรับเบราว์เซอร์ในปี 2023

Google ระบุว่าช่องโหว่นี้มีรหัสว่า CVE-2023-7024 เป็นข้อบกพร่องที่สำคัญภายในโมดูล WebRTC ของ Chrome ที่อนุญาตให้มีการเรียกใช้โค้ดจากระยะไกล (RCE)

โดย WebRTC เป็นโครงการริเริ่มแบบโอเพ่นซอร์สที่ช่วยสื่อสารแบบเรียลไทม์ผ่าน API และได้รับการสนับสนุนจากผู้ผลิตเบราว์เซอร์ชั้นนำ

Lionel Litty หัวหน้าสถาปนิกด้านความปลอดภัยของ Menlo Security อธิบายว่า โค้ด CVE-2023-7024 นี้ ยังคงฝังอยู่ในแซนด์บ็อกซ์ของ Chrome ที่ยังถอนออกได้ไม่หมด 

ช่องโหว่นี้แฮกเกอร์ยังไม่สามารถเข้าถึงไฟล์ของผู้ใช้งานหรือบังคับใช้มัลแวร์บนแถบเครื่องมือของผู้ใช้งานหลักได้

แต่สำหรับคนที่ชอบบันทึกรหัสผ่านของการเข้าเว็บไซต์ต่างๆ บน Chrome ความเสี่ยงนั้นสูงมาก ยิ่งถ้าเป็นการบันทึกรหัสผ่านของเว็บไซต์ธนาคาร

Google ชี้แจงว่า ยังอยู่ในช่วงของการตรวจสอบความปลอดภัยของ Chrome ว่าการบันทึกรหัสผ่านไว้บนเว็บเบราว์เซอร์จะถูกขโมยข้อมูลหรือไม่

แต่ Chrome ได้มีการแจ้งเตือนผู้ใช้งานเดสก์ท็อปว่าการใช้ฟีเจอร์ส่วนต่อขยายอาจมีสัญญาณอันตราย หรือถ้าเปิดใช้งาน Safe Browsing เพื่อช่วยบล็อกเว็บไซต์ที่ไม่ปลอดภัยได้

Sabine Borsay ผู้จัดการผลิตภัณฑ์กลุ่ม Chrome กล่าวว่า การตรวจสอบความปลอดภัยบน Chrome เวอร์ชันเดสก์ท็อปจะทำงานแบบอัตโนมัติ และการแจ้งเตือนเหล่านี้ จะปรากฏขึ้นในแถบเมนูสามจุดใน Chrome เพื่อให้ผู้ใช้งานกดเพื่อแก้ไขเองได้

นอกจากนี้ Google ยังเพิ่มการตรวจสอบสถานะความปลอดภัยไม่ให้เข้าถึงตำแหน่งและไมโครโฟนของผู้ใช้งานสำหรับเว็บไซต์ที่ไม่ได้เข้าชมมาเป็นเวลานาน

ดังนั้น รหัสเข้าใช้งานที่คาดเดาง่ายยังคงเป็นจุดอ่อนสำคัญที่ทำให้แฮกเกอร์ใช้ในการโจมตีอย่างหนัก 

ทั้งนี้ Google ยังปรับปรุงความปลอดภัยทางอินเทอร์เน็ตของผู้ใช้ Chrome ด้วยการอัปเดตคำขอ HTTP ให้ดียิ่งขึ้น โดยอัปเกรดคำร้องขอที่ไม่ปลอดภัยทั้งหมดเป็นคำขอ HTTPS แบบอัตโนมัติ

อย่างไรก็ตาม การเลือกใช้ประโยชน์จาก Chrome มาโจมตีผู้ใช้งานนั้น เพราะสามารถเชื่อมโยงกับหลายบริการได้ด้วย

 

ที่มา : Darkreader, BleepingComputer

ภาพ : unsplash

อ่านข่าวอื่นๆ เพิ่มเติม

• Google Play Store ให้ถอนการติดตั้งแอปจากอุปกรณ์อื่นๆ ได้แล้ว
• เปิดใจ ซีอีโอ Google เลิกจ้างพนักงาน 1.2 หมื่นคน เพื่อลงทุน AI
• หมอกำลังโดน AI บุก! Google จับมือ MedLM เดินหน้า ChatGPT เก่งเรื่องการรักษาโรค