Google ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ zero-day บน Chrome ซึ่งนับเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีเป็นครั้งที่หกตั้งแต่ต้นปีนี้
แม้ Google จะไม่ได้ระบุอย่างชัดเจนว่าช่องโหว่ด้านความปลอดภัยนี้ยังคงถูกใช้งานในการโจมตีอยู่หรือไม่ แต่บริษัทได้เตือนว่ามี public exploit สำหรับช่องโหว่ CVE-2025-10585 ซึ่งมักเป็นสัญญาณที่แสดงให้เห็นถึงการถูกนำไปใช้ในการโจมตีจริง โดยข้อมูลดังกล่าวปรากฏในคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันพุธที่ 17 กันยายน 2025
ช่องโหว่ zero-day ระดับความรุนแรงสูงใน V8 JavaScript engine ของเว็บเบราว์เซอร์ Chrome เกิดจากช่องโหว่ประเภท type confusion ซึ่งถูกรายงานโดยทีม Threat Analysis Group (TAG) ของ Google เมื่อวันอังคารที่ 16 กันยายน
Google TAG ตรวจพบช่องโหว่ zero-day เหล่านี้บ่อยครั้ง โดยมักถูกใช้โดยกลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาล เพื่อมุ่งเป้าโจมตีบุคคลกลุ่มเสี่ยง เช่น นักการเมืองฝ่ายค้าน, กลุ่มผู้เห็นต่าง และนักข่าว ผ่านแคมเปญสปายแวร์แบบเจาะจงเป้าหมาย
Google ได้แก้ไขช่องโหว่ด้านความปลอดภัยดังกล่าวในวันถัดมา ด้วยการออกอัปเดตเวอร์ชัน 140.0.7339.185/.186 สำหรับ Windows และ Mac และเวอร์ชัน 140.0.7339.185 สำหรับ Linux โดยเวอร์ชันเหล่านี้จะทยอยปล่อยให้ผู้ใช้งานอัปเดตผ่านช่องทาง Stable Desktop ครบทั้งหมดภายในไม่กี่สัปดาห์ข้างหน้า
แม้ว่า Chrome จะทำการอัปเดตโดยอัตโนมัติเมื่อมีแพตช์ความปลอดภัยใหม่ ๆ แต่ผู้ใช้ก็สามารถอัปเดตได้ด้วยตนเอง โดยไปที่เมนู Chrome > Help > About Google Chrome รอให้การดาวน์โหลดเสร็จสิ้น และคลิกปุ่ม 'Relaunch' เพื่อเริ่มใช้งานเวอร์ชันล่าสุดทันที
Google ยืนยันว่าช่องโหว่ CVE-2025-10585 กำลังถูกใช้ในการโจมตีจริงแล้ว แต่ยังไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีดังกล่าว
Google ระบุว่า การเข้าถึงข้อมูลเกี่ยวกับช่องโหว่ และลิงก์ต่าง ๆ ถูกจำกัดไว้จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแพตช์แก้ไขแล้ว และจะยังคงจำกัดข้อมูลหากช่องโหว่นั้นอยู่ในไลบรารีของ third party ที่โปรเจกต์อื่น ๆ ใช้งานร่วมกันแต่ยังไม่ได้รับการแก้ไข
ช่องโหว่นี้ถือเป็น zero-day บน Chrome ที่ถูกใช้ในการโจมตี และได้รับการแก้ไขเป็นครั้งที่หกในปีนี้ โดยก่อนหน้านี้ Google ได้ปล่อยแพตช์แก้ไขอีกห้าช่องโหว่ในเดือนมีนาคม, พฤษภาคม, มิถุนายน และกรกฎาคม
ในเดือนกรกฎาคม Google ได้แก้ไขช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง (CVE-2025-6558) ซึ่งถูกรายงานโดยนักวิจัยจาก Google TAG โดยช่องโหว่นี้ทำให้ผู้โจมตี escape จากระบบป้องกัน sandbox ของเบราว์เซอร์ได้
ก่อนหน้านี้ในเดือนพฤษภาคม Google ได้ปล่อยอัปเดตฉุกเฉินสำหรับช่องโหว่ zero-day (CVE-2025-4664) ที่อาจทำให้ผู้โจมตีเข้ายึดบัญชีผู้ใช้ได้ และในเดือนมิถุนายน ได้มีการแก้ไขช่องโหว่ out-of-bounds read and write (CVE-2025-5419) ใน V8 JavaScript engine ของ Chrome ซึ่งถูกพบโดยทีม Google TAG เช่นกัน
ในเดือนมีนาคม Google ได้ออกแพตช์แก้ไขช่องโหว่ระดับความรุนแรงสูงที่ช่วยให้ผู้โจมตี escape จาก sandbox (CVE-2025-2783) ซึ่งถูกรายงานโดย Kaspersky และถูกใช้ในปฏิบัติการสอดแนมที่มุ่งเป้าไปยังองค์กรรัฐบาลรัสเซีย และสื่อมวลชน
ในปีที่ผ่านมา Google ได้แพตช์แก้ไขช่องโหว่ zero-day 10 รายการ ซึ่งบางส่วนถูกสาธิตในงานแข่งขันแฮ็ก Pwn2Own และบางส่วนถูกใช้โจมตีจริง
ที่มา : bleepingcomputer
You must be logged in to post a comment.