Google ได้ออกแพตช์อัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงใน Chrome ที่ถูกใช้ในการโจมตีแบบ Zero-Day ซึ่งนับเป็นช่องโหว่ด้านความปลอดภัยรายการแรกที่ได้รับการแก้ไขตั้งแต่ต้นปี
Google ระบุในคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันศุกร์ที่ 13 กุมภาพันธ์ที่ผ่านมา "ทาง Google รับทราบแล้วว่ามีการนำช่องโหว่ CVE-2026-2441 ไปใช้ในการโจมตีจริง"
จากประวัติการ Commit ของ Chromium พบว่าช่องโหว่ประเภท Use-After-Free นี้ (ซึ่งรายงานโดยนักวิจัยด้านความปลอดภัย Shaheen Fazim) มีสาเหตุมาจาก Iterator Invalidation bug ใน CSSFontFeatureValuesMap ซึ่งเป็นส่วนที่ Chrome ใช้ในการจัดการค่า CSS font feature ซึ่งหากการโจมตีประสบความสำเร็จ ผู้โจมตีอาจทำให้เว็บเบราว์เซอร์หยุดการทำงาน, เกิดปัญหาในการแสดงผล, ข้อมูลเสียหาย หรือเกิดพฤติกรรมผิดปกติอื่น ๆ ได้
นอกจากนี้ ข้อความใน Commit ยังระบุว่าแพตช์สำหรับ CVE-2026-2441 นี้เป็นการแก้ไขปัญหาเฉพาะหน้าเท่านั้น แต่ยังมีการดำเนินการต่อ ซึ่งถูกติดตามไว้ใน bug หมายเลข 483936078 แสดงให้เห็นว่า การแก้ไขดังกล่าวอาจเป็นเพียงมาตรการชั่วคราว หรือยังมีปัญหาที่เกี่ยวข้องที่ต้องได้รับการจัดการเพิ่มเติม
แพตช์ดังกล่าวถูกระบุว่าเป็นแบบ "Cherry-picked" (หรือ Backported) ในหลายรายการ ซึ่งแสดงให้เห็นว่ามีความสำคัญเร่งด่วนที่ต้องรวมไว้ในเวอร์ชัน Stable Release แทนที่จะรอปล่อยพร้อมกับเวอร์ชันหลักรอบถัดไป (ซึ่งน่าจะเป็นเพราะช่องโหว่ดังกล่าวกำลังถูกใช้โจมตีจริงอยู่ในขณะนี้)
แม้ว่า Google จะพบหลักฐานว่ามีผู้โจมตีใช้ช่องโหว่ Zero-day นี้ในการโจมตีจริง แต่ทางบริษัทก็ไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์ดังกล่าว
Google ระบุว่า "การเข้าถึงรายละเอียดของ bug และ links ที่เกี่ยวข้องอาจถูกจำกัดไว้ จนกว่าผู้ใช้ส่วนใหญ่จะได้รับการอัปเดตแพตช์แก้ไขแล้ว นอกจากนี้ จะยังคงจำกัดข้อมูลต่อไปหาก bug ดังกล่าวปรากฏอยู่ใน Third-party library ซึ่งมีโปรเจกต์อื่น ๆ ใช้งานด้วยเช่นกัน แต่ยังไม่ได้รับการแก้ไข"
ขณะนี้ Google ได้แก้ไขช่องโหว่ดังกล่าวให้กับผู้ใช้ในกลุ่ม Stable Desktop แล้ว โดยเวอร์ชันใหม่กำลังทยอยปล่อยอัปเดตให้กับผู้ใช้ Windows, macOS (145.0.7632.75/76) และ Linux (144.0.7559.75) ทั่วโลก ในอีกไม่กี่วันหรือสัปดาห์ข้างหน้านี้
หากไม่ต้องการอัปเดตด้วยตนเอง สามารถปล่อยให้ Chrome ตรวจสอบการอัปเดตโดยอัตโนมัติ และระบบจะทำการติดตั้งให้หลังจากที่เปิดใช้งานโปรแกรมในครั้งถัดไป
แม้ว่านี่จะเป็นช่องโหว่ด้านความปลอดภัยของ Chrome รายการแรกที่มีการถูกใช้ในการโจมตีจริง และได้รับการแก้ไขนับตั้งแต่ต้นปี 2026 แต่ในปีที่ผ่านมา Google ได้แก้ไขช่องโหว่ Zero-day ที่ถูกใช้โจมตีจริงไปรวมทั้งสิ้น 8 รายการ โดยส่วนใหญ่ได้รับรายงานจากทีม Threat Analysis Group (TAG) ของบริษัท ซึ่งเป็นที่รู้จักกันดีในด้านการติดตาม และระบุช่องโหว่ Zero-day ที่ถูกนำไปใช้ในการโจมตีด้วย spyware กับบุคคลที่มีความเสี่ยงสูง
ที่มา : bleepingcomputer
You must be logged in to post a comment.