Google ได้ออกแพตช์อัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day บน Chrome อีกหนึ่งรายการ ที่พบว่ากำลังถูกนำไปใช้ในการโจมตีจริง ซึ่งถือเป็นช่องโหว่ Zero-day รายการที่ 5 ที่ได้รับการแก้ไขตั้งแต่ช่วงต้นปีที่ผ่านมา
Google ระบุว่า "Google รับทราบว่ากำลังมีการนำช่องโหว่ CVE-2026-11645 ไปใช้ในการโจมตีจริง"
บริษัทได้แก้ไขช่องโหว่ Zero-day ดังกล่าวให้กับผู้ใช้งานใน Stable Desktop channel โดยเวอร์ชันที่ได้รับการแพตช์แก้ไขกำลังทยอยปล่อยให้กับผู้ใช้งานระบบ Windows (149.0.7827.102), Mac (149.0.7827.103) และ Linux (149.0.7827.102) ทั่วโลก หลังจากที่นักวิจัยด้านความปลอดภัยที่ไม่ประสงค์ออกนามได้รายงานช่องโหว่นี้ให้กับ Google ทราบเป็นระยะเวลาสองสัปดาห์ที่ผ่านมา
แม้ว่า Google จะระบุว่าการอัปเดตด้านความปลอดภัยนี้อาจจะใช้เวลาหลายวัน หรือหลายสัปดาห์กว่าจะเข้าถึงผู้ใช้ Chrome ทุกคน แต่ทาง BleepingComputer พบว่าแพตช์อัปเดตดังกล่าวพร้อมให้อัปเดตแล้วเมื่อทำการตรวจสอบ
ผู้ใช้ที่ไม่ต้องการกดอัปเดตเว็บเบราว์เซอร์ด้วยตนเอง สามารถรอให้ Chrome ทำการตรวจสอบ และติดตั้งการอัปเดตโดยอัตโนมัติในการเปิดใช้งานเบราว์เซอร์ครั้งถัดไปได้
ช่องโหว่ Zero-day ที่มีระดับความรุนแรงสูงนี้ (CVE-2026-11645) มีสาเหตุมาจากช่องโหว่ Out-of-bounds read and write ใน V8 JavaScript engine ของ Chrome ซึ่งผู้โจมตีจากระยะไกลสามารถโจมตีระบบผ่านทางหน้า HTML ที่ถูกสร้างขึ้นมาเป็นพิเศษ เพื่อเรียกใช้โค้ดตามต้องการภายใน Sandbox ของเว็บเบราว์เซอร์ได้
หากการโจมตีสำเร็จ พวกเขาจะสามารถเข้าถึงข้อมูลที่อยู่นอกเหนือ Memory buffer ผ่าน Heap corruption ส่งผลให้ข้อมูลที่สำคัญรั่วไหล หรือทำให้เบราว์เซอร์หยุดการทำงานได้
นอกจากการเข้าถึงหน่วยความจำ Out-of-bounds โดยไม่ได้รับอนุญาตแล้ว ช่องโหว่ Zero-day ที่ได้รับการแพตช์แก้ไขไปแล้ว ยังสามารถถูกนำไปใช้เพื่อ Bypass กลไกการป้องกันอย่าง ASLR ซึ่งอาจทำให้การเรียกใช้โค้ดที่เป็นอันตรายผ่านช่องโหว่อื่นทำได้ง่ายขึ้น
แม้ว่าทาง Google จะระบุว่า บริษัทรับทราบถึงการนำช่องโหว่ Zero-day CVE-2024-0519 ไปใช้ในการโจมตีจริงแล้ว แต่ทางบริษัทยังไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์เหล่านี้
Google ระบุว่า "การเข้าถึงรายละเอียดของช่องโหว่ และ Link ต่าง ๆ อาจถูกจำกัดไว้จนกว่าผู้ใช้ส่วนใหญ่จะได้รับการอัปเดตแพตช์แก้ไข เราจะยังคงจำกัดการเข้าถึงข้อมูลต่อไปหากช่องโหว่ดังกล่าวอยู่ใน Library ของ Third-party ซึ่งโปรเจกต์อื่น ๆ มีการพึ่งพาใช้งานอยู่เช่นกัน แต่ยังไม่ได้ทำการแก้ไข"
ตั้งแต่ช่วงต้นปีที่ผ่านมา Google ได้แก้ไขช่องโหว่ Zero-day ที่ถูกนำไปใช้ในการโจมตีจริงเพิ่มอีก 4 รายการ ได้แก่
- ช่องโหว่ Iterator invalidation (CVE-2026-2441) ใน CSSFontFeatureValuesMap (ส่วนที่ Chrome ใช้ประมวลผล CSS font feature values) ซึ่ง Google ได้แก้ไขไปแล้วเมื่อช่วงกลางเดือนกุมภาพันธ์
- ช่องโหว่ Zero-day ของ Chrome อีก 2 รายการ ที่ถูกนำไปใช้ในการโจมตีในเดือนมีนาคม ได้แก่ ช่องโหว่ Out-of-bounds write ใน Skia 2D graphics library (CVE-2026-3909) และช่องโหว่ Inappropriate implementation ใน V8 JavaScript และ WebAssembly engine (CVE-2026-3910)
- ช่องโหว่ Use-after-free ใน Dawn (CVE-2026-5281) ซึ่งเป็นโครงสร้างพื้นฐานแบบ Cross-platform ของมาตรฐาน WebGPU ที่โปรเจกต์ Chromium ใช้งาน โดย Google ได้ออกแพตช์แก้ไขไปในเดือนเมษายน
เมื่อปีที่แล้ว Google ได้แก้ไขช่องโหว่ Zero-day ที่ถูกนำไปใช้ในการโจมตีจริง 8 รายการ ซึ่งหลายรายการในนั้นถูกรายงานโดยหน่วยงานวิเคราะห์ภัยคุกคาม (Threat Analysis Group หรือ TAG) ของบริษัท ซึ่งเป็นที่รู้จักกันดีในด้านการค้นหา และติดตามการใช้ประโยชน์จากช่องโหว่ Zero-day ในการโจมตีด้วย Spyware
ที่มา : bleepingcomputer
You must be logged in to post a comment.