Google ได้ออกอัปเดตความปลอดภัยฉุกเฉินสำหรับ Chrome เพื่อแก้ไขช่องโหว่ระดับ Critical แบบ Zero-day ที่พบว่าผู้โจมตีกำลังใช้ในการโจมตีจริงอย่างต่อเนื่อง
โดย Google ยืนยันว่าช่องโหว่ CVE-2025-6558 กำลังถูกผู้โจมตีนำไปใช้ในการโจมตีจริง โดยได้ดำเนินการปล่อยแพตช์อัปเดตทันทีสำหรับทุกแพลตฟอร์มที่รองรับ
Google Chrome ได้รับการอัปเดตเป็นเวอร์ชัน 138.0.7204.157/.158 สำหรับระบบปฏิบัติการ Windows และ Mac และเวอร์ชัน 138.0.7204.157 สำหรับระบบปฏิบัติการ Linux
การอัปเดตนี้แก้ไขช่องโหว่ด้านความปลอดภัย 6 รายการ โดยช่องโหว่ที่ร้ายแรงที่สุดคือช่องโหว่แบบ zero-day ซึ่งกำลังถูกใช้ในการโจมตีอยู่ในขณะนี้ กระบวนการอัปเดตจะทยอยปล่อยให้ผู้ใช้ในช่วงหลายวัน หรือหลายสัปดาห์ข้างหน้า ตามกระบวนการปรับใช้มาตรฐานของ Google
ช่องโหว่ Zero-day บน Google Chrome
ช่องโหว่ CVE-2025-6558 เกิดจาก incorrect validation of untrusted input ใน ANGLE และ GPU components ถูกพบ และรายงานโดย Clément Lecigne และ Vlad Stolyarov จากทีม Google’s Threat Analysis เมื่อวันที่ 23 มิถุนายน 2025
ความร่วมมือระหว่างนักวิจัยกับทีมรักษาความปลอดภัยภายในของ Google แสดงให้เห็นว่าช่องโหว่นี้อาจถูกพบจากการตรวจสอบภัยคุกคามขั้นสูง หรือจากการตอบสนองต่อเหตุการณ์การโจมตี
นอกจากช่องโหว่ Zero-Day แล้ว Google ได้แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงอีก 2 รายการในการอัปเดตรอบนี้คือ CVE-2025-7656 โดยเป็นช่องโหว่ Integer Overflow ใน V8 ซึ่งเป็น JavaScript Engine ของ Chrome ถูกพบโดย Shaheen Fazim นักวิจัยด้านความปลอดภัย ช่องโหว่นี้ได้รับรางวัลตอบแทน 7,000 เหรียญสหรัฐ ซึ่งแสดงให้เห็นถึงผลกระทบอย่างมีนัยสำคัญต่อความปลอดภัยของผู้ใช้
ช่องโหว่ระดับความรุนแรงสูงอีกรายการคือ CVE-2025-7657 โดยเป็นช่องโหว่ Use-After-Free ในฟังก์ชัน WebRTC ซึ่งรายงานโดยนักวิจัย jakebiles โดยช่องโหว่ประเภทนี้ อาจเปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตราย หรือทำให้ระบบขัดข้องได้
Google เน้นย้ำว่า การเข้าถึงข้อมูลรายละเอียดของช่องโหว่จะยังคงถูกจำกัดไว้ จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตความปลอดภัย วิธีการนี้มีเป้าหมายเพื่อป้องกันไม่ให้ผู้โจมตีทำการ reverse-engineering แพตซ์ เพื่อพัฒนาเครื่องมือสำหรับการโจมตีช่องโหว่
บริษัทใช้แนวทางเดียวกันนี้กับช่องโหว่ที่ส่งผลกระทบต่อไลบรารีของ third-party ซึ่งถูกใช้งานในโครงการอื่น ๆ ด้วย
การอัปเดตนี้ยังรวมถึงการแก้ไขจากโครงการความปลอดภัยภายในของ Google ที่ดำเนินอยู่ต่อเนื่อง ซึ่งรวมถึงผลลัพธ์จาก AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer และ การทดสอบ AFL Framework เครื่องมือรักษาความปลอดภัยอัตโนมัติเหล่านี้จะสแกน codebase ของ Chrome อย่างต่อเนื่องเพื่อค้นหาช่องโหว่ที่อาจเกิดขึ้น
ผู้ใช้ควรอัปเดตเบราว์เซอร์ Chrome เป็นเวอร์ชันล่าสุดทันที ซึ่งโดยปกติ Chrome จะอัปเดตอัตโนมัติ แต่ผู้ใช้สามารถตรวจสอบได้ด้วยตนเองโดยไปที่เมนูการตั้งค่าของ Chrome และเลือก "About Google Chrome" เนื่องจากช่องโหว่ CVE-2025-6558 กำลังถูกใช้ในการโจมตีอยู่ในขณะนี้ การชะลอการอัปเดตอาจทำให้ผู้ใช้ตกอยู่ในความเสี่ยงด้านความปลอดภัยอย่างร้ายแรง
การค้นพบช่องโหว่ zero-day นี้ แสดงให้เห็นถึงการต่อสู้ระหว่างนักวิจัยด้านความปลอดภัย และผู้โจมตีที่ยังคงดำเนินไปอย่างต่อเนื่องในระบบของเบราว์เซอร์
ที่มา : cybersecuritynews
You must be logged in to post a comment.