เมื่อวันอังคารที่ผ่านมา กูเกิ้ลได้ปล่อยตัวอัพเดทสำหรับเว็บบราวเซอร์ Chrome ทั้งบนวินโดวส์ แมค และลีนุกซ์ ซึ่งเป็นการแก้ไขปัญหาด้านความปลอดภัย 7 รายการ และมีรายการหนึ่งที่เป็นช่องโหว่ที่ถูกนำไปใช้โจมตีในวงกว้างมาก่อนหน้าแล้วด้วย
ช่องโหว่นี้อยู่ภายใต้รหัส CVE-2021-21224 เกิดจากปัญหาการจัดประเภทข้อมูลบนเอนจิ้นจาวาสคริปต์แบบโอเพ่นซอร์สอย่าง V8 ที่ทางนักวิจัยด้านความปลอดภัย Jose Martinez ได้รายงานให้ทางกูเกิ้ลทราบไปตั้งแต่วันที่ 5 เมษายน
ทางนักวิจัยด้านความปลอดภัยอีกท่านหนึ่ง Lei Cao กล่าวว่าบั๊กนี้จะแสดงอาการเมื่อมีการแปลงประเภทข้อมูลแบบ Integer ทำให้เกิดสภาวะนอกเหนือจากขอบเขตที่มีกำหนดไว้ ซึ่งอาจถูกใช้ในการโจมตีหน่วยความจำด้วยข้อมูลทั้งฝั่ง Read/Write ได้
ทางผู้จัดการโครงการด้านเทคนิคของ Chrome เองอย่าง Srinivas Sista ก็โพสต์บล็อกว่า กูเกิ้ลรับทราบรายงานที่ว่าช่องโหว่ CVE-2021-21224 มีการใช้ประโยชน์ในการโจมตีในวงกว้างมาก่อนหน้านี้แล้ว ทั้งนี้ตัวอัพเดทออกมาภายหลังมีการเผยแพร่โค้ดจำลองการโจมตีจริงหรือ PoC ออกมาด้วย
ที่มา : THN
