Google เพิ่งเปิดตัวการอัปเดตที่ไม่ได้กำหนดไว้ล่วงหน้าเพื่อแก้ไขช่องโหว่แบบ zero-day ที่เชื่อกันว่าถูกแฮกเกอร์นำไปใช้ประโยชน์อย่างจริงจังในเบราว์เซอร์ Google Chrome นี่เป็นจุดบกพร่องร้ายแรงแรกของปี 2023 บนเบราว์เซอร์ที่มีส่วนแบ่งการตลาดที่ใหญ่ที่สุดในโลก ในปัจจุบัน

Clement Lecigne จาก Threat Analysis Group (TAG) ของ Google รายงานว่าช่องโหว่ดังกล่าวมีชื่อว่า CVE-2023-2033 เมื่อวันที่ 11 เมษายน 2023 Google TAG เป็นกลุ่มผู้เชี่ยวชาญที่มีหน้าที่ค้นหาและรายงานช่องโหว่แบบ zero-day ที่ถูกใช้ประโยชน์ในการโจมตีแบบมีเป้าหมายเฉพาะเจาะจงโดยผู้ก่อภัยคุกคามที่ได้รับการสนับสนุนจาก รัฐบาล

ช่องโหว่นี้จัดอยู่ในประเภทที่มีความรุนแรงสูง โดยอธิบายว่าเป็นปัญหาความสับสนของประเภทในกลไก V8 JavaScript ข้อผิดพลาดประเภทใน V8 ใน Google Chrome ก่อนเวอร์ชัน 112.0.5615.121 ทำให้ผู้โจมตีจากระยะไกลสามารถใช้ประโยชน์จากการทุจริตฮีปผ่านหน้า HTML ที่สร้างขึ้นได้

แม้ว่าข้อบกพร่องนี้มักจะทำให้ผู้โจมตีสามารถทำให้เบราว์เซอร์หยุดทำงานเมื่อสามารถโจมตีสำเร็จโดยการอ่านหรือเขียนข้อมูลนอกขอบเขตบัฟเฟอร์ แต่ก็สามารถทำให้แฮกเกอร์สามารถรันโค้ดบนอุปกรณ์ที่ถูกบุกรุกได้ด้วยเช่นกัน ความรุนแรงสูงของช่องโหว่ทำให้ Google แจ้งว่าการเข้าถึงรายละเอียดจุดบกพร่องจะถูกจำกัดจนกว่าผู้ใช้ส่วนใหญ่ได้รับการแก้ไขแล้ว

นอกจากนี้ ยังมีความเป็นไปได้ที่ Google จะยังคงจำกัดการเข้าถึงข้อบกพร่องด้านความปลอดภัยนี้ต่อไป เนื่องจากข้อบกพร่องนี้ปรากฏอยู่ในไลบรารีหรือโปรเจ็กต์ของบุคคลที่สามที่ต้องพึ่งพา JavaScript V8 และยังไม่ได้รับการแก้ไข

ผู้ใช้เบราว์เซอร์ที่ใช้ Chromium เช่น Microsoft Edge, Brave, Opera และ Vivaldi ควรใช้การแก้ไขทันทีที่มีการเผยแพร่ หากต้องการตรวจสอบเวอร์ชันใหม่ของ Google Chrome ให้ไปที่ Chrome > ความช่วยเหลือ > เกี่ยวกับ Google Chrome จากเบราว์เซอร์ผู้ใช้