ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม
[TLP:WHITE] แจ้งเตือนกรณี Google เผยแพร่การอัปเดตด้านความปลอดภัยสำหรับ Chrome เพื่อแก้ไขช่องโหว่หลายรายการที่อาจส่งผลให้ถูกโจมตีแบบ Remote Code Execution
30 มี.ค.65
Google ได้ประกาศออก Chrome เวอร์ชัน 100.0.4896.60[1] สำหรับระบบปฏิบัติการ Windows Mac และ Linux โดยเวอร์ชั่นนี้ได้ออกมาเพื่อแก้ไขช่องโหว่หลายรายการ ซึ่งช่องโหว่ที่มีระดับความรุนแรงที่สุดอาจส่งผลให้ผู้ไม่หวังดีสามารถโจมตีช่องโหว่ของ Chrome เวอร์ชั่นที่ได้รับผลกระทบ และนำไปสู่การควบคุมเครื่องคอมพิวเตอร์ที่ใช้ Chrome เวอร์ชั่นที่ได้รับผลกระทบ ทั้งนี้ Chrome เวอร์ชันนี้ ได้ออกมาเพื่อแก้ไขช่องโหว่หลายรายการ ดังนี้
- CVE-2022-1125 - Use after free in Portals
- CVE-2022-1127 - Use after free in QR Code Generator
- CVE-2022-1128 - Inappropriate implementation in Web Share API
- CVE-2022-1129 - Inappropriate implementation in Full Screen Mode
- CVE-2022-1130 - Insufficient validation of untrusted input in WebOTP
- CVE-2022-1131 - Use after free in Cast UI
- CVE-2022-1132 - Inappropriate implementation in Virtual Keyboard
- CVE-2022-1133 - Use after free in WebRTC
- CVE-2022-1134 - Type Confusion in V8
- CVE-2022-1135 - Use after free in Shopping Cart
- CVE-2022-1136 - Use after free in Tab Strip
- CVE-2022-1137 - Inappropriate implementation in Extensions
- CVE-2022-1138 - Inappropriate implementation in Web Cursor
- CVE-2022-1139 - Inappropriate implementation in Background Fetch API
- CVE-2022-1141 - Use after free in File Manager
- CVE-2022-1142 - Heap buffer overflow in WebUI
- CVE-2022-1143 - Heap buffer overflow in WebUI
- CVE-2022-1144 - Use after free in WebUI
- CVE-2022-1145 - Use after free in Extensions
- CVE-2022-1146 - Inappropriate implementation in Resource Timing
ศูนย์ TTC-CERT แนะนำให้องค์กรของสมาชิกตรวจสอบรายละเอียดการอัปเดตด้านความปลอดภัยสำหรับ Chrome ตลอดจนดำเนินการอัปเดตให้เป็นเวอร์ชั่นที่ได้รับการแก้ไขช่องโหว่ โดยมีรายละเอียดเพิ่มเติมที่หัวข้อ “มาตรการรับมือและวิธีแก้ปัญหา”
ช่องโหว่นี้เป็นช่องโหว่ที่ก่อให้เกิดความเสี่ยงที่ยอมรับไม่ได้ (unacceptable risk) ต่อองค์กรที่ใช้งาน Chrome เวอร์ชั่นที่ได้รับผลกระทบและต้องมีการดำเนินการต่าง ๆ เพื่อลดความเสี่ยงอย่างเร่งด่วน ทั้งนี้ ในห้วงเวลาที่รายงานฉบับนี้ออก (30 มี.ค.65 เวลา 12.00น.) ยังไม่พบ proof-of-concept code (PoC) สำหรับการโจมตีช่องโหว่เหล่านี้ และยังไม่พบรายงานเกี่ยวกับการโจมตีช่องโหว่เหล่านี้ในอินเทอร์เน็ต
รายละเอียดของช่องโหว่โดยสรุป
- ผลิตภัณฑ์ที่ได้รับผลกระทบ: Google Chrome
- หน่วยงานที่ออกคำแนะนำด้านความปลอดภัย: Google
- Operating System
- Windows
- UNIX variants (UNIX, Linux, OSX)
- ผลกระทบ (Impact):
- Remote Code Execution
- Information Disclosure
- การแก้ไขปัญหา: Patch/Upgrade
- CVE Names: CVE-2022-1125 CVE-2022-1127 CVE-2022-1128
CVE-2022-1129 CVE-2022-1130 CVE-2022-1131
CVE-2022-1132 CVE-2022-1133 CVE-2022-1134
CVE-2022-1135 CVE-2022-1136 CVE-2022-1137
CVE-2022-1138 CVE-2022-1139 CVE-2022-1141
CVE-2022-1142 CVE-2022-1143 CVE-2022-1144
CVE-2022-1145 CVE-2022-1146
ซอฟต์แวร์ที่ได้รับผลกระทบ
- Google Chrome เวอร์ชันที่ต่ำกว่า 100.0.4896.60
มาตรการรับมือและวิธีแก้ปัญหา
ศูนย์ TTC-CERT แนะนำให้องค์กรของสมาชิกหรือผู้ใช้งานทั่วไปที่ใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่เหล่านี้ดำเนินการดังต่อไปนี้
- อัปเดต Google Chrome เป็นเวอร์ชันล่าสุด (เวอร์ชัน 100.0.4896.60) โดยมีรายละเอียดเพิ่มเติมที่ https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_29.html ทั้งนี้ การแก้ไข Configuration เพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว สมาชิกควรปฎิบัติตาม Change Management Policy และ/หรือ Risk Management Policy และ/หรือ Business Impact Assessment ของหน่วยงานอย่างเคร่งครัด
- ผู้ใช้งานทั่วไปสามารถดำเนินการตรวจสอบเวอร์ชันของ Google Chrome ด้วยตนเองโดย Chrome menu > Help > About Google Chrome
- กำหนดให้การทำงานของซอฟต์แวร์ทั้งหมด (โดยเฉพาะ Chrome) ได้รับสิทธิ์แบบ non-privileged user (ซอฟต์แวร์ที่ไม่มีสิทธิ์ของผู้ดูแลระบบ (administrative privileges)) เพื่อลดผลกระทบจากการถูกโจมตี
- เตือนผู้ใช้งานว่าไม่ควรเข้าชมเว็บไซต์ที่ไม่น่าเชื่อถือหรือติดตามลิงก์ที่มาจากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ
- แจ้งและให้ความรู้แก่ผู้ใช้งานเกี่ยวกับภัยคุกคามที่เกิดจาก Link ที่อยู่ในเนื้อความของอีเมลหรือไฟล์แนบ โดยเฉพาะจากแหล่งที่ไม่น่าเชื่อถือ
- ใช้หลักการ Principle of Least Privilege[2] กับระบบและบริการทั้งหมดในองค์กร
ข้อมูลอ้างอิง
/
[1] "Stable Channel Update for Desktop - Chrome Releases." 30 Mar. 2022, https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_29.html. Accessed 30 Mar. 2022.
[2] "Least Privilege | CISA." 14 Sep. 2005, https://us-cert.cisa.gov/bsi/articles/knowledge/principles/least-privilege. Accessed 8 Dec. 2021.