ทีมวิจัยความปลอดภัย Tencent Blade ในสังกัด Tencent เปิดเผยข้อมูลช่องโหว่ Magellen 2.0 เปิดให้ยิงโค้ด SQL เข้าไปยัง Chrome ได้

กูเกิลแก้ไขช่องโหว่นี้แล้วใน Chrome 79.0.3945.79 ที่ออกตัวจริงเมื่อช่วงต้นเดือนธันวาคม ผู้ที่ใช้ Chrome/Chromium เวอร์ชันก่อนหน้านี้ (รวมถึงเว็บเบราว์เซอร์ที่พัฒนาบน Chromium อย่าง Opera) ควรอัพเดตเป็นเวอร์ชันล่าสุด

ช่องโหว่นี้เกิดจาก Chrome มีเอนจิน SQLite ฝังมาด้วย (ช่องโหว่นี้เกิดที่ตัว SQLite) Tencent แจ้งไปยังโครงการ SQLite และ Chrome ตั้งแต่เดือนพฤศจิกายน ทั้งสองโครงการอุดช่องโหว่เรียบร้อยแล้ว แต่ฝั่ง SQLite ยังไม่ออกซอฟต์แวร์เวอร์ชันใหม่ที่มีแพตช์นี้ติดมาด้วย

ทีม Tencent Blade สามารถเจาะ Chrome ผ่านช่องโหว่ชุดนี้ได้สำเร็จ แต่ระบุว่ายังไม่พบการโจมตีผ่านช่องโหว่ชุดนี้ และไม่มีแผนเปิดเผยรายละเอียดช่องโหว่ต่อสาธารณะ

ที่มา - Tencent , ZDNet