Google ออกอัปเดตแพตซ์ความปลอดภัยฉุกเฉินสำหรับ Chrome เพื่อแก้ไขช่องโหว่ระดับ High Severity ที่อาจทำให้ผู้โจมตีสามารถทำให้ Browser crash หรือรันโค้ดตามที่ต้องการบนระบบได้
ช่องโหว่ High Severity หมายเลข CVE-2025-9132 ส่งผลกระทบต่อ V8 JavaScript engine ของ Chrome และถูกพบโดยระบบตรวจหาช่องโหว่อัตโนมัติของ Google ที่ชื่อว่า Big Sleep เมื่อวันที่ 4 สิงหาคม 2025
ช่องโหว่นี้มีสาเหตุมาจาก Out-of-bounds write ใน V8 JavaScript engine ของ Chrome ซึ่งเป็น component ที่ทำหน้าที่ประมวลผลโค้ด JavaScript บนหน้าเว็บ
ช่องโหว่ประเภท Memory corruption ลักษณะนี้ถือว่าอันตรายมาก เพราะอาจทำให้ผู้โจมตีสามารถเขียนข้อมูลเกินขอบเขตของหน่วยความจำที่ถูกจัดสรรไว้ได้ และอาจไปเขียนทับบริเวณหน่วยความจำที่สำคัญของระบบได้
ช่องโหว่แบบ Out-of-bounds write ใน JavaScript engine นั้นน่ากังวลเป็นพิเศษ เพราะสามารถถูกทำให้เกิดขึ้นได้ผ่านคอนเทนต์บนเว็บที่เป็นอันตราย
หากมีการโจมตีจากช่องโหว่ CVE-2025-9132 ได้สำเร็จ
- ผู้โจมตีอาจสามารถรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution – RCE) บนเครื่องของเหยื่อ
- Bypass กลไกป้องกันด้านความปลอดภัยอย่าง Sandbox
- ทำให้เกิด Denial-of-Service (DoS) โดยทำให้ Browser crash
ผลิตภัณฑ์ที่ได้รับผลกระทบ
- Google Chrome เวอร์ชันต่ำกว่า 139.0.7258.138 (Windows/Mac)
- Google Chrome เวอร์ชันต่ำกว่า 139.0.7258.138 (Linux)
- ทุกแพลตฟอร์มที่ใช้ Chrome V8 JavaScript engine
ทีมรักษาความปลอดภัยของ Google จัดระดับช่องโหว่นี้เป็น High Severity ซึ่งหมายความว่ามีความเสี่ยงสูงหากไม่ได้อัปเดตแพตซ์
Update Now
Google เริ่มปล่อยแพตช์อัปเดตด้านความปลอดภัยเมื่อวันที่ 19 สิงหาคม 2025 ผ่าน Chrome เวอร์ชัน 139.0.7258.138/.139
การปล่อยอัปเดตนี้เป็นไปตามกระบวนการมาตรฐานของ Google ที่ค่อย ๆ ทยอยเปิดให้ผู้ใช้ทีละกลุ่มในช่วงหลายวันถึงหลายสัปดาห์ เพื่อให้มั่นใจว่าระบบมีความเสถียร
ผู้ใช้ควรตรวจสอบเวอร์ชันของ Chrome ทันที โดยไปที่ chrome://settings/help ของ Browser ซึ่ง Browser จะทำการตรวจสอบ และติดตั้งการอัปเดตให้โดยอัตโนมัติ
ผู้ดูแลระบบในองค์กรควรรีบอัปเดต Chrome ให้พนักงานผ่านระบบอัปเดตที่องค์กรดูแลอยู่ เพื่อป้องกันการถูกโจมตี
Google ยังไม่บอกรายละเอียดช่องโหว่ทั้งหมด จนกว่าผู้ใช้ส่วนใหญ่จะอัปเดต Chrome เป็นเวอร์ชันที่ปลอดภัยแล้ว
วิธีการนี้ช่วยป้องกันไม่ให้ผู้ไม่หวังดีสร้างโค้ดโจมตีได้ในช่วงที่ผู้ใช้จำนวนมากยังไม่ได้อัปเดต
การที่ Google ตรวจพบช่องโหว่นี้ผ่านระบบอัตโนมัติ Big Sleep แสดงให้เห็นถึงพัฒนาการของวงการวิจัยช่องโหว่ ที่ปัจจุบันเครื่องมือที่ขับเคลื่อนด้วย AI กลายเป็นสิ่งสำคัญในการค้นหาปัญหา Memory corruption ก่อนที่ผู้โจมตีจะนำไปใช้เป็นเครื่องมือในการโจมตี
ที่มา : cybersecuritynews
You must be logged in to post a comment.