Google ออกอัปเดตแพตซ์ความปลอดภัยอย่างเร่งด่วนสำหรับเบราว์เซอร์ Chrome เพื่อแก้ไขช่องโหว่ระดับ Critical 3 รายการ ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ดอันตรายบนระบบของผู้ใช้ได้
การอัปเดตเวอร์ชัน 138.0.7204.168/.169 บน Windows และ Mac, และ 138.0.7204.168 สำหรับ Linux กำลังทยอยเปิดให้ผู้ใช้ทั่วโลกสามารถอัปเดตได้
ช่องโหว่ที่น่ากังวล คือช่องโหว่ระดับความรุนแรงสูง 2 รายการ คือ ช่องโหว่ Type Confusion ใน JavaScript V8 engine ของ Chrome ซึ่งถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัย Shaheen Fazim เมื่อวันที่ 9 กรกฎาคม 2025 โดยช่องโหว่เหล่านี้มีหมายเลข CVE-2025-8010 และ CVE-2025-8011 ซึ่งเป็นภัยคุกคามอย่างมากต่อความปลอดภัยของเบราว์เซอร์
CVE-2025-8010 ได้รับรางวัล Bug Bounty มูลค่า 8,000 ดอลลาร์สหรัฐฯ แสดงถึงระดับความรุนแรง และผลกระทบที่อาจเกิดขึ้น ขณะที่ช่องโหว่ที่สอง CVE-2025-8011 ยังคงอยู่ระหว่างการพิจารณารางวัล แต่ก็ส่งผลกระทบร้ายแรงต่อความปลอดภัยของผู้ใช้งานไม่แพ้กัน
การโจมตีแบบ Type Confusion
ช่องโหว่ Type Confusion เกิดขึ้นเมื่อซอฟต์แวร์เข้าถึงทรัพยากรโดยใช้ชนิดข้อมูลที่ไม่ถูกต้อง ซึ่งอาจนำไปสู่พฤติกรรมที่ไม่คาดคิด และการละเมิดความปลอดภัยที่อาจเกิดขึ้น
ใน JavaScript V8 engine ของ Chrome ช่องโหว่ลักษณะนี้ถือว่าอันตรายอย่างมาก เพราะทำให้ผู้โจมตีสามารถควบคุมหน่วยความจำ และอาจรันโค้ดอันตรายผ่านหน้าเว็บที่สร้างขึ้นเป็นพิเศษได้
นักวิจัยด้านความปลอดภัยไซเบอร์ระบุว่า “Type Confusion มักถูกใช้ร่วมกับช่องโหว่แบบ use-after-free และถือเป็นแนวทางหลักในการโจมตีซอฟต์แวร์ C++ ปัจจุบัน เช่น เว็บเบราว์เซอร์”
ช่องโหว่เหล่านี้สามารถนำไปสู่ Heap corruption, Memory corruption และในที่สุดคือการรันโค้ดอันตรายเมื่อถูกใช้โจมตีได้สำเร็จ
การอัปเดตในครั้งนี้เกิดขึ้นท่ามกลางแนวโน้มภัยคุกคามที่เพิ่มสูงขึ้นในกลุ่มเบราว์เซอร์ ผู้เชี่ยวชาญด้านความปลอดภัยรายงานว่า จำนวนช่องโหว่ในปี 2024 เพิ่มขึ้น 61% เมื่อเทียบกับปี 2023 และคาดว่าจะมีช่องโหว่เกือบ 50,000 รายการภายในปี 2025
V8 engine ของ Chrome กลายเป็นเป้าหมายที่น่าสนใจเป็นพิเศษสำหรับอาชญากรไซเบอร์ โดย Google ได้ประกาศเพิ่มรางวัล Bug Bounty สำหรับการรายงานช่องโหว่คุณภาพสูงใน V8 สูงสุดถึง 20,000 ดอลลาร์สหรัฐฯ
V8 JavaScript engine ซึ่งเป็นขุมพลังของทั้ง Chrome และเบราว์เซอร์อื่น ๆ ในตระกูล Chromium เช่น Microsoft Edge และ Brave ซึ่งประมวลผลการโต้ตอบบนเว็บนับพันล้านครั้งต่อวัน ทำให้ช่องโหว่เหล่านี้มีความสำคัญเป็นพิเศษ
เมื่อถูกโจมตีสำเร็จ ช่องโหว่เหล่านี้อาจเปิดทางให้ผู้โจมตีสามารถ bypass ระบบ sandbox ความปลอดภัยของ Chrome และเข้าถึงระบบปฏิบัติการของผู้ใช้โดยตรง
นักวิจัยด้านความปลอดภัยย้ำว่า ผู้ใช้ควรอัปเดตเบราว์เซอร์ทันที เพราะการโจมตีแบบ Type Confusion ในปัจจุบันสามารถถูกใช้งานได้เพียงแค่เข้าชมเว็บไซต์ที่เป็นอันตราย โดยไม่ต้องมีการโต้ตอบเพิ่มเติมจากผู้ใช้เลย
การโจมตีมักเริ่มจากการที่ผู้โจมตีสร้างหน้า HTML ที่มีโค้ด JavaScript ซึ่งออกแบบมาเฉพาะเพื่อใช้ช่องโหว่ของ V8 engine
ทีมความปลอดภัยของ Google ยังได้กล่าวถึงความสำเร็จของเครื่องมือภายใน เช่น AddressSanitizer, MemorySanitizer และเทคนิค fuzzing ที่ช่วยตรวจพบช่องโหว่ดังกล่าวก่อนที่จะถูกเผยแพร่จริง
อย่างไรก็ตาม การค้นพบช่องโหว่เหล่านี้โดยนักวิจัยจากภายนอก แสดงให้เห็นถึงความท้าทายอย่างต่อเนื่องในการดูแลความปลอดภัยของ browser engines ที่มีความซับซ้อนสูง
ผู้ใช้สามารถตรวจสอบเวอร์ชันของเบราว์เซอร์ Chrome ได้โดยไปที่ การตั้งค่า > เกี่ยวกับ Chrome และอนุญาตให้อัปเดตที่รอดำเนินการติดตั้งโดยอัตโนมัติ
เนื่องจากช่องโหว่นี้มีระดับความรุนแรงสูง และสามารถถูกใช้โจมตีแบบ drive-by ได้ จึงขอแนะนำให้ทำการอัปเดตทันที
ที่มา : cybersecuritynews
You must be logged in to post a comment.