ភាពងាយរងគ្រោះធ្ងន់ធ្ងរ Zero-day ពីរនៅក្នុង Chrome
Google ទើបតែបានចេញផ្សាយការអាប់ដេតបន្ទាន់សម្រាប់កម្មវិធីរុករកតាមអ៊ីនធឺណិត Chrome របស់ខ្លួនដើម្បីជួសជុលភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពធ្ងន់ធ្ងរចំនួនពីរ រួមទាំងភាពងាយរងគ្រោះសូន្យថ្ងៃដែលកំពុងត្រូវបានប្រើប្រាស់យ៉ាងសកម្មដោយពួក Hacker ។
អ្នកជំនាញផ្នែកសុវត្ថិភាពតាមអ៊ីនធឺណិតព្រមានថាអ្នកប្រើប្រាស់រាប់ពាន់លាននាក់នៅទូទាំងពិភពលោកអាចប្រឈមនឹងហានិភ័យនៃការលេចធ្លាយទិន្នន័យរសើប រួមទាំងនិមិត្តសញ្ញាសម័យ ខូគី និងព័ត៌មានសម្ងាត់ចូល។
ភាពងាយរងគ្រោះសំខាន់ពីរ៖ ការកេងប្រវ័ញ្ចពិភពលោកពិត និងការលេចធ្លាយទិន្នន័យ
ភាពងាយរងគ្រោះដំបូងគេកំណត់ថា CVE-2025-5419 មាននៅក្នុងម៉ាស៊ីន V8 - ដំណើរការ JavaScript និង WebAssembly របស់ Chrome ។
យោងតាមការប្រកាសជាផ្លូវការពី Google ភាពងាយរងគ្រោះនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើប្រតិបត្តិការអាន និងសរសេរលើសពីតំបន់អង្គចងចាំដែលបានបម្រុងទុក ដោយបើកលទ្ធភាពនៃការប្រតិបត្តិពីចម្ងាយនៃកូដព្យាបាទ។
តាមពិត អ្នកប្រើប្រាស់គ្រាន់តែចូលទៅកាន់គេហទំព័រដែលមានកូដកេងប្រវ័ញ្ចសម្រាប់អ្នកវាយប្រហារ ដើម្បីគ្រប់គ្រងកម្មវិធីរុករក ឬឧបករណ៍របស់ពួកគេ។ Google បានបញ្ជាក់ថា ភាពងាយរងគ្រោះនេះកំពុងត្រូវបានកេងប្រវ័ញ្ច មុនពេលវាត្រូវបានបង្ហាញជាសាធារណៈ ដែលធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងផ្នែកសុវត្ថិភាពតាមអ៊ីនធឺណិតដ៏គួរឱ្យព្រួយបារម្ភបំផុតមួយនៅក្នុងឆមាសទីមួយនៃឆ្នាំនេះ។
ភាពងាយរងគ្រោះទីពីរ CVE-2025-4664 ពាក់ព័ន្ធនឹងវិធីដែលកម្មវិធីរុករកតាមអ៊ីនធឺណិតគ្រប់គ្រងបឋមកថា HTTP និងគោលការណ៍ណែនាំនៅពេលផ្ទុកធនធានរង។ យោងតាមក្រុមអ្នកស្រាវជ្រាវ អ្នកវាយប្រហារអាចទាញយកចំណុចខ្សោយនេះ ដើម្បីប្រមូលព័ត៌មានរសើបតាមរយៈ URL រួមមាន OAuth access tokens, session IDs និងប៉ារ៉ាម៉ែត្រដែលមានទិន្នន័យឯកជន។
កាន់តែគ្រោះថ្នាក់ យន្តការវាយប្រហារនេះអាចកើតឡើងដោយស្ងៀមស្ងាត់ ដោយមិនតម្រូវឱ្យមានសកម្មភាពណាមួយពីអ្នកប្រើប្រាស់ ក្រៅពីការចូលទៅកាន់គេហទំព័រដែលមានមេរោគ។
ការជូនដំណឹងជាសកល និងការឆ្លើយតបពី Google
ការឆ្លើយតបរបស់ Google បន្ទាប់ពីឧប្បត្តិហេតុ
ភ្លាមៗបន្ទាប់ពីភាពងាយរងគ្រោះត្រូវបានរកឃើញ Google បានចេញផ្សាយបច្ចុប្បន្នភាពសុវត្ថិភាពដែលត្រូវគ្នា៖ កំណែ 137.0.7151.68/.69 សម្រាប់ Windows, Linux និង macOS ដើម្បីជួសជុល CVE-2025-5419 និងកំណែ 136.0.7103.113/.114 ដើម្បីជួសជុល CVE-2024
ភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិតដូចជា CISA របស់សហរដ្ឋអាមេរិក និង CERT-In របស់ឥណ្ឌាបានចេញការព្រមានជាបន្ទាន់ក្នុងពេលដំណាលគ្នា ដោយស្នើឱ្យអ្នកប្រើប្រាស់ និងស្ថាប័នធ្វើបច្ចុប្បន្នភាពកម្មវិធីរុករកតាមអ៊ីនធឺណិត Chrome របស់ពួកគេភ្លាមៗ ដើម្បីជៀសវាងការធ្លាក់ខ្លួនជាជនរងគ្រោះនៃការវាយប្រហារដែលកំពុងបន្ត។
ហានិភ័យចំពោះអ្នកប្រើប្រាស់បុគ្គល និងអាជីវកម្ម
អ្នកជំនាញផ្នែកសន្តិសុខនិយាយថា ភាពងាយរងគ្រោះទាំងពីរអាចត្រូវបានកេងប្រវ័ញ្ចដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន គ្រប់គ្រងកម្មវិធីរុករក និងថែមទាំងបើកផ្លូវសម្រាប់ការវាយប្រហារទ្រង់ទ្រាយធំដូចជា ការដំឡើងមេរោគ ចារកម្ម ឬការអ៊ិនគ្រីបទិន្នន័យសម្រាប់តម្លៃលោះ។
ដោយសារពេលវេលាដែលវាត្រូវការដើម្បីទាញយកភាពងាយរងគ្រោះគឺខ្លីពីប៉ុន្មានថ្ងៃទៅត្រឹមតែប៉ុន្មានម៉ោងបន្ទាប់ពីព័ត៌មានត្រូវបានផ្សព្វផ្សាយ ការអាប់ដេតកម្មវិធីទាន់ពេលវេលាគឺមានសារៈសំខាន់ណាស់។
ទោះបីជាមានពេលវេលានៃការកេងប្រវ័ញ្ចស្ទើរតែ ភ្លាមៗបន្ទាប់ពីភាពងាយរងគ្រោះត្រូវបានរកឃើញក៏ដោយ អ្នកវាយប្រហារអាចចាប់ផ្តើមកូដព្យាបាទក្នុងរយៈពេលតែប៉ុន្មានម៉ោងប៉ុណ្ណោះ ដោយបង្កើតសម្ពាធយ៉ាងខ្លាំងទៅលើប្រព័ន្ធដែលមិនមានពេលវេលាដើម្បីធ្វើបច្ចុប្បន្នភាព។
វិធីការពារ និងការពារទិន្នន័យ
អ្នកប្រើប្រាស់ Chrome រាប់ពាន់លានត្រូវអាប់ដេតឥឡូវនេះ
សម្រាប់អ្នកប្រើប្រាស់ម្នាក់ៗ ការណែនាំគឺចូលទៅកាន់ផ្នែក "អំពី Google Chrome" នៅក្នុងផ្នែកជំនួយ ដើម្បីពិនិត្យមើលកំណែ និងធ្វើបច្ចុប្បន្នភាពកម្មវិធីរុករកភ្លាមៗ (ចូលទៅកាន់ម៉ឺនុយ > ជំនួយ > អំពី Google Chrome)។ បន្ទាប់ពីធ្វើបច្ចុប្បន្នភាព សូមចាប់ផ្ដើមកម្មវិធីរុករកតាមអ៊ីនធឺណិតឡើងវិញ ដើម្បីធានាថាបំណះត្រូវបានអនុវត្ត។
ទន្ទឹមនឹងនេះ អ្នកប្រើប្រាស់គួរតែជៀសវាងការចុចលើតំណភ្ជាប់ដែលគួរឱ្យសង្ស័យ ជាពិសេសពីអ៊ីមែល បណ្តាញសង្គម ឬគេហទំព័រដែលមិនគួរឱ្យទុកចិត្ត។
ការប្រើប្រាស់កម្មវិធីសុវត្ថិភាព តម្រង URL ឬផ្នែកបន្ថែមការរុករកសុវត្ថិភាពក៏ត្រូវបានណែនាំផងដែរ ដើម្បីកាត់បន្ថយហានិភ័យ។
សម្រាប់អាជីវកម្ម និងស្ថាប័នដែលត្រូវការធ្វើបច្ចុប្បន្នភាព Chrome ដោយស្វ័យប្រវត្តិនៅលើឧបករណ៍ទាំងអស់នៅលើបណ្តាញរបស់ពួកគេ តាមដានចរាចរណ៍បណ្តាញសម្រាប់ភាពមិនប្រក្រតី និងជូនដំណឹងដល់បុគ្គលិកខាងក្នុងចំពោះការបំពានទិន្នន័យដែលអាចកើតមាន។
ឧបករណ៍ត្រួតពិនិត្យសុវត្ថិភាពដោយស្វ័យប្រវត្តិដូចជា Wazuh ឬដំណោះស្រាយ sandbox ក៏អាចត្រូវបានប្រើដើម្បីរកមើលការកេងប្រវ័ញ្ចដែលកំពុងត្រូវបានប្រើប្រាស់ផងដែរ។
ភាពងាយរងគ្រោះដែលបានលាតត្រដាងថ្មីបង្ហាញថា សុវត្ថិភាពរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតមិនអាចមើលស្រាលបានទេ ជាពិសេសនៅពេលដែល Chrome គឺជាវេទិកាពេញនិយមបំផុត នៅលើពិភពលោក នាពេលបច្ចុប្បន្ននេះ។
ខណៈពេលដែល Google ឆ្លើយតបយ៉ាងឆាប់រហ័សជាមួយនឹងបំណះ ការទទួលខុសត្រូវក្នុងការការពារអ្នកប្រើប្រាស់ចុងក្រោយគឺស្ថិតនៅជាមួយពួកគេ។ នៅក្នុងយុគសម័យឌីជីថល ការអាប់ដេតកម្មវិធីទាន់ពេលវេលា និងការយល់ដឹងអំពីសុវត្ថិភាពព័ត៌មានផ្ទាល់ខ្លួនបានក្លាយជាខ្សែការពារដំបូង និងសំខាន់បំផុត។
ប្រភព៖ https://tuoitre.vn/lo-hong-zero-day-nguy-hiem-tren-google-chrome-nguoi-dung-chu-y-20250610102157359.htm
Kommentar (0)