Google Chrome เตรียมแก้ไขช่องโหว่ 0.0.0.0 Day ที่มีมานาน
ในความเคลื่อนไหวสำคัญเพื่อเพิ่มความปลอดภัยบนเว็บ Google ได้ประกาศแผนที่จะแก้ไขช่องโหว่ที่สำคัญในเบราว์เซอร์ Chrome ที่รู้จักกันในชื่อช่องโหว่ 0.0.0.0 Day ปัญหาที่มีมานานนี้ ซึ่งส่งผลกระทบต่อเทคโนโลยีเบราว์เซอร์หลายตัว มีศักยภาพที่จะหลีกเลี่ยงการป้องกันเบราว์เซอร์ขั้นสูงและทำให้บริการเครือข่ายท้องถิ่นตกอยู่ในความเสี่ยง
หุ่นจำลองที่แสดงถึงผู้ใช้ที่กำลังมีส่วนร่วมกับเทคโนโลยี ในขณะที่ Google กำลังจัดการกับช่องโหว่ที่สำคัญของเบราว์เซอร์ |
อธิบายช่องโหว่ 0.0.0.0 Day
ช่องโหว่นี้เกิดจากวิธีที่เบราว์เซอร์จัดการคำขอเครือข่ายไปยังที่อยู่ IPv4 0.0.0.0 ซึ่งตามปกติใช้เป็นตัวแทนที่ไม่เป็นมาตรฐานสำหรับที่อยู่ IP ทั้งหมดที่มีอยู่ในเครือข่าย ที่อยู่นี้สามารถถูกใช้โดยเว็บไซต์ที่เป็นอันตรายเพื่อโต้ตอบกับบริการที่ทำงานบนเครือข่ายท้องถิ่นของผู้ใช้ ซึ่งอาจทำให้ความปลอดภัยตกอยู่ในความเสี่ยง
ประเด็นสำคัญเกี่ยวกับช่องโหว่:
- ส่งผลกระทบต่อระบบปฏิบัติการ macOS และ Linux (Windows ไม่ได้รับผลกระทบ)
- ส่งผลกระทบต่อเบราว์เซอร์ที่ใช้ Chromium, Safari ของ Apple (WebKit) และ Mozilla Firefox (Gecko)
- หลีกเลี่ยงมาตรการรักษาความปลอดภัยที่มีอยู่ เช่น Cross-Origin Resource Sharing (CORS) และ Private Network Access (PNA)
การตอบสนองของ Google
Google ได้ดำเนินการอย่างรวดเร็วเพื่อแก้ไขปัญหาความปลอดภัยนี้:
- Chrome จะเริ่มบล็อกการเข้าถึง 0.0.0.0 ในเวอร์ชันที่จะมาถึง
- การแก้ไขจะค่อยๆ ถูกนำออกใช้เริ่มต้นด้วย Chrome 128
- คาดว่าจะมีการนำไปใช้อย่างเต็มรูปแบบภายใน Chrome 133
ผลกระทบต่ออุตสาหกรรม
การค้นพบแคมเปญการโจมตีที่ใช้งานจริง เช่น การโจมตี ShadowRay ต่อเวิร์กโหลด AI เน้นย้ำถึงความเร่งด่วนในการแก้ไขช่องโหว่นี้ ผู้พัฒนาเบราว์เซอร์รายใหญ่อื่นๆ ก็กำลังดำเนินการเช่นกัน:
- Apple ได้อัปเดต WebKit เพื่อบล็อกการเข้าถึง 0.0.0.0
- Mozilla กำลังมีส่วนร่วมในการหารือเกี่ยวกับปัญหานี้และกำลังสำรวจทางแก้ไข
ในขณะที่อุตสาหกรรมเทคโนโลยีกำลังเผชิญกับความท้าทายด้านความปลอดภัยที่ซับซ้อนมากขึ้น การพัฒนานี้เน้นย้ำถึงความจำเป็นอย่างต่อเนื่องในการเฝ้าระวังและตอบสนองอย่างรวดเร็วต่อภัยคุกคามที่เกิดขึ้นใหม่ในเทคโนโลยีการท่องเว็บ