เมื่อวันจันทร์ที่ผ่านมา Google ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 3 รายการในเบราว์เซอร์ Chrome ซึ่งรวมถึงหนึ่งช่องโหว่ที่บริษัทพบว่าถูกนำไปใช้ในการโจมตีแล้ว
ช่องโหว่ที่มีระดับความรุนแรงสูงนี้มีหมายเลข CVE-2025-5419 (คะแนน CVSS: 8.8) และถูกระบุว่าเป็นช่องโหว่ประเภท Out-of-Bounds Read and Write ใน V8 JavaScript และ WebAssembly engine
จากฐานข้อมูลช่องโหว่แห่งชาติ (National Vulnerability Database - NVD) ของ NIST ระบุว่า "ช่องโหว่ Out-of-bounds read and write ใน V8 ของ Google Chrome เวอร์ชันก่อน 137.0.7151.68 ที่สามารถทำให้ผู้โจมตีจากภายนอกใช้หน้า HTML ที่ถูกสร้างขึ้นมาเป็นพิเศษ เพื่อใช้ในการโจมตี และทำให้เกิด heap corruption ได้"
Google ได้ให้เครดิตแก่ Clement Lecigne และ Benoît Sevens จาก Google Threat Analysis Group (TAG) ที่เป็นผู้ค้นพบ และรายงานช่องโหว่นี้เมื่อวันที่ 27 พฤษภาคม 2025 โดย Google ได้แก้ไขช่องโหว่ดังกล่าวในวันถัดมา ด้วยการปรับเปลี่ยนการกำหนดค่าไปยังเวอร์ชัน Stable ของเบราว์เซอร์ในทุกแพลตฟอร์ม
โดยเป็นไปตามธรรมเนียมปกติ รายละเอียดในคำแนะนำเกี่ยวกับลักษณะของการโจมตีที่ใช้ประโยชน์จากช่องโหว่ หรือข้อมูลระบุตัวตนของกลุ่มผู้ไม่หวังดีที่อยู่เบื้องหลังการโจมตีนี้นั้นมีค่อนข้างน้อยมาก ทั้งนี้เพื่อให้มั่นใจว่าผู้ใช้งานส่วนใหญ่ได้ทำการอัปเดตเพื่อแก้ไขช่องโหว่แล้ว และเพื่อป้องกันไม่ให้ผู้ไม่หวังดีรายอื่น ๆ ฉวยโอกาสใช้ช่องโหว่นี้ในการโจมตีเพิ่มเติม
Google ยอมรับว่า "Google รับทราบว่ามีการนำช่องโหว่ CVE-2025-5419 นี้ไปใช้ในการโจมตีจริงแล้วในปัจจุบัน"
ช่องโหว่ CVE-2025-5419 ถือเป็นช่องโหว่ Zero-Day ที่ถูกนำไปใช้ในการโจมตีจริงเป็นรายการที่สองที่ Google ได้ทำการแก้ไขแล้วในปีนี้ ต่อจากช่องโหว่ CVE-2025-2783 (ที่มีคะแนน CVSS: 8.3) ซึ่ง Kaspersky ระบุว่า ได้ถูกนำไปใช้ในการโจมตีที่มุ่งเป้าไปยังองค์กรต่าง ๆ ในรัสเซีย
ขอแนะนำให้ผู้ใช้ทำการอัปเกรด Chrome ให้เป็นเวอร์ชัน 137.0.7151.68/.69 สำหรับ Windows กับ macOS และเวอร์ชัน 137.0.7151.68 สำหรับ Linux เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น และผู้ใช้เบราว์เซอร์ที่ใช้ Chromium เป็นพื้นฐาน เช่น Microsoft Edge, Brave, Opera และ Vivaldi ก็ควรติดตั้งแพตช์แก้ไขทันทีเมื่อมีให้อัปเดตเช่นกัน
ที่มา : thehackernews
You must be logged in to post a comment.