ការអាប់ដេតសុវត្ថិភាព Chrome ជួសជុលចំណុចខ្សោយចំនួន ២៦ ដែលអនុញ្ញាតឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយ

Google បានចេញផ្សាយការអាប់ដេតសុវត្ថិភាពដ៏សំខាន់មួយសម្រាប់កម្មវិធីរុករកបណ្ដាញ Chrome របស់ខ្លួន ដោយដោះស្រាយចំណុចខ្សោយចំនួន 26 ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមិនបានផ្ទៀងផ្ទាត់អាចប្រតិបត្តិកូដព្យាបាទពីចម្ងាយ។

ការអាប់ដេតឆានែលស្ថេរភាពចុងក្រោយបំផុតបានដាក់ចេញនូវកំណែ 146.0.7680.153 និង 146.0.7680.154 សម្រាប់ Windows និង macOS ខណៈពេលដែលអ្នកប្រើប្រាស់ Linux នឹងទទួលបានកំណែ 146.0.7680.153។

វដ្តបំណះដ៏សំខាន់នេះត្រូវបានរចនាឡើងដើម្បីជួសជុលចំណុចខ្សោយធ្ងន់ធ្ងរជាច្រើនដែលបង្កហានិភ័យយ៉ាងសំខាន់ដល់អ្នកប្រើប្រាស់ម្នាក់ៗ និងបណ្តាញសហគ្រាសដូចគ្នា។

ត្រូវបានរៀបចំតាមទម្រង់រាយការណ៍សន្តិសុខតាមអ៊ីនធឺណិតស្តង់ដារ ការវិភាគនេះបង្ហាញពីការគំរាមកំហែងធ្ងន់ធ្ងរបំផុតដែលត្រូវបានកាត់បន្ថយនៅក្នុងការចេញផ្សាយនេះ។

ចំណុចខ្សោយសំខាន់ៗ និងហានិភ័យ RCE

វ៉ិចទ័រគំរាមកំហែងចម្បងសម្រាប់ចំណុចខ្សោយទាំងនេះស្ថិតនៅក្នុងរបៀបដែលកម្មវិធីរុករកដំណើរការខ្លឹមសារគេហទំព័រឯកទេស។

ដោយការកេងប្រវ័ញ្ចចំណុចខ្សោយនៅក្នុងសមាសធាតុដូចជា WebGL, WebRTC និងម៉ាស៊ីន V8 JavaScript អ្នកគំរាមកំហែងអាចរំលងប្រអប់ខ្សាច់សុវត្ថិភាពកម្មវិធីរុករកស្តង់ដារ។

ការអាប់ដេតនេះដោះស្រាយជាពិសេសនូវភាពងាយរងគ្រោះធ្ងន់ធ្ងរចំនួនបី គុណវិបត្តិធ្ងន់ធ្ងរចំនួន 22 និងបញ្ហាធ្ងន់ធ្ងរមួយគឺភាពងាយរងគ្រោះកម្រិតមធ្យម។

ភាពងាយរងគ្រោះទាំងនេះភាគច្រើនមានកំហុសក្នុងការគ្រប់គ្រងអង្គចងចាំបុរាណដូចជាលក្ខខណ្ឌ use-after-free ការហៀរចេញនៃ heap buffer និងការចូលប្រើក្រៅព្រំដែន។

នៅពេលដែលអ្នកវាយប្រហារបង្កលក្ខខណ្ឌមួយក្នុងចំណោមលក្ខខណ្ឌទាំងនេះដោយជោគជ័យ ជាធម្មតាដោយការទាក់ទាញជនរងគ្រោះទៅកាន់គេហទំព័រដែលបង្កើតឡើងដោយព្យាបាទ ពួកគេអាចសរសេរ payloads ដោយផ្ទាល់ទៅក្នុងអង្គចងចាំប្រព័ន្ធ និងសម្រេចបានការប្រតិបត្តិកូដពីចម្ងាយ (RCE)។

ក្រៅពីគុណវិបត្តិធ្ងន់ធ្ងរ ភាពងាយរងគ្រោះធ្ងន់ធ្ងរចំនួន 22 ប៉ះពាល់ដល់ម៉ូឌុលកម្មវិធីរុករកស្នូលជាច្រើន រួមទាំង Blink, Network, WebAudio, Dawn និង PDFium។

ជាពិសេស អ្នកស្រាវជ្រាវសន្តិសុខម្នាក់ដែលធ្វើការក្រោមឈ្មោះក្លែងក្លាយ "c6eed09fc8b174b0f3eebedcceb1e792" បានរកឃើញ និងរាយការណ៍ពីបញ្ហាធ្ងន់ធ្ងរចំនួនប្រាំបួន ក៏ដូចជាភាពងាយរងគ្រោះធ្ងន់ធ្ងរមួយ។

ភាពងាយរងគ្រោះ WebGL មានគ្រោះថ្នាក់ជាពិសេស ពីព្រោះពួកវាធ្វើអន្តរកម្មដោយផ្ទាល់ជាមួយអង្គភាពដំណើរការក្រាហ្វិកផ្នែករឹង ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារគេចផុតពីការរឹតបន្តឹងកម្មវិធី។

ស្រដៀងគ្នានេះដែរ ម៉ាស៊ីន V8 JavaScript នៅតែជាគោលដៅដែលមានតម្លៃខ្ពស់។ ភាពងាយរងគ្រោះដូចជាការភាន់ច្រឡំប្រភេទ (CVE-2026-4457) អនុញ្ញាតឱ្យអ្នកវាយប្រហាររៀបចំរបៀបដែលម៉ាស៊ីនដោះស្រាយប្រភេទវត្ថុ។

Google បានកត់សម្គាល់ថា កំហុសជាច្រើនទាំងនេះត្រូវបានកំណត់អត្តសញ្ញាណជាមុនក្នុងអំឡុងពេលអភិវឌ្ឍន៍ដោយប្រើឧបករណ៍សាកល្បងអង្គចងចាំកម្រិតខ្ពស់ដូចជា AddressSanitizer, MemorySanitizer និង libFuzzer។

ដើម្បីកាត់បន្ថយហានិភ័យនៃការសម្របសម្រួលប្រព័ន្ធ អ្នកប្រើប្រាស់ និងអ្នកគ្រប់គ្រងសហគ្រាសត្រូវបានណែនាំយ៉ាងខ្លាំងឱ្យផ្ទៀងផ្ទាត់កំណែកម្មវិធីរុករករបស់ពួកគេភ្លាមៗ។

ខណៈពេលដែល Google កំពុងដាក់ចេញនូវការអាប់ដេតជាបណ្តើរៗក្នុងរយៈពេលប៉ុន្មានថ្ងៃ និងសប្តាហ៍ខាងមុខ ការអាប់ដេតដោយដៃជាមុនអាចការពារការកេងប្រវ័ញ្ចដោយអ្នកគំរាមកំហែងឱកាសនិយម។

ដូចការអនុវត្តស្តង់ដារ Google នឹងរឹតបន្តឹងការចូលប្រើប្រាស់ជាសាធារណៈចំពោះរបាយការណ៍កំហុសលម្អិត និងខ្សែសង្វាក់កេងប្រវ័ញ្ចរហូតដល់អ្នកប្រើប្រាស់ភាគច្រើនបានអនុវត្តបំណះដោយជោគជ័យ។

យុទ្ធសាស្ត្របង្ហាញព័ត៌មានយឺតយ៉ាវនេះដោយជោគជ័យការពារអ្នកគំរាមកំហែងពីការធ្វើវិស្វកម្មបញ្ច្រាសបំណះដើម្បីបង្កើតការកេងប្រវ័ញ្ច zero-day ដែលកំណត់គោលដៅប្រព័ន្ធដែលយឺតយ៉ាវក្នុងការអាប់ដេត។