Microsoft ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ใน Microsoft Edge ซึ่งช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีจากภายนอก สามารถรันโค้ดอันตรายใด ๆ ก็ได้บนระบบที่มีช่องโหว่
ช่องโหว่นี้มีหมายเลข CVE-2026-45495 ซึ่งได้รับการรายงานโดย Orange Tsai จากสถาบัน DEVCORE โดยมีคะแนน CVSS v3 อยู่ที่ 7.5 และช่องโหว่ดังกล่าวต้องมีการโต้ตอบจากผู้ใช้ เช่น การเข้าชมเว็บเพจที่เป็นอันตรายหรือการเปิดไฟล์ที่ถูกสร้างขึ้นมาเป็นพิเศษ จึงจะสามารถโจมตีได้
ช่องโหว่นี้เกิดจากการตรวจสอบความถูกต้องของข้อมูลที่ไม่เหมาะสมในระหว่างที่ Edge กำลังประมวลผล feedback log files โดยเฉพาะอย่างยิ่ง Edge ไม่ได้ตรวจสอบความถูกต้องของ File Path ที่ผู้ใช้ป้อนเข้ามา ก่อนที่จะเริ่มดำเนินกระบวนการจัดการกับไฟล์นั้น ๆ
ผู้โจมตีที่สามารถหลอกให้ผู้ใช้เปิดไฟล์ที่เป็นอันตรายหรือเข้าชมหน้าเว็บที่ถูกสร้างขึ้นมาเป็นพิเศษ จะสามารถใช้ประโยชน์จากช่องโหว่นี้ร่วมกับช่องโหว่อื่น ๆ เพื่อรันโค้ดอันตรายภายใต้สิทธิ์และขอบเขตการทำงานของผู้ใช้ที่กำลังเข้าสู่ระบบอยู่ในขณะนั้น
เนื่องจากช่องโหว่ดังกล่าวจะทำงานด้วยสิทธิ์ของผู้ใช้งานปัจจุบัน ส่งผลให้ระดับความเสียหายครอบคลุมตั้งแต่การขโมยข้อมูลและการเข้าถึงข้อมูลส่วนตัวบนเบราว์เซอร์ ไปจนถึงการแฝงตัวอยู่ในระบบอย่างถาวรหรือการขยายวงการโจมตีไปยังเครื่องอื่นในเครือข่าย หากผู้ใช้รายนั้นมีสิทธิ์ระดับสูง
ตามรายงานคำแนะนำด้านความปลอดภัยที่เปิดเผยต่อสาธารณะระบุว่า สาเหตุหลักของปัญหาเกิดจากช่องโหว่ path-validation ของกระบวนการจัดการไฟล์ feedback Log ซึ่งหาก path ถูกสร้างขึ้นมาเป็นพิเศษ จะช่วยให้ผู้โจมตีสามารถดำเนินการกับไฟล์ในตำแหน่งสำคัญอื่น ๆ ที่ไม่พึงประสงค์ได้
แม้ว่ารายงานคำแนะนำของ Microsoft จะไม่ได้เปิดเผยโค้ดที่ใช้สำหรับการโจมตีออกสู่สาธารณะ แต่ด้วยลักษณะเฉพาะของช่องโหว่นี้ (ที่ต้องใช้วิธีปลอมแปลง path เข้าถึงไฟล์ ร่วมกับการรอให้ผู้ใช้โต้ตอบกลับ) จึงทำให้การใช้เทคนิค Social Engineering ไม่ว่าจะเป็นการแนบไฟล์ที่เป็นอันตราย, หน้าเว็บหลอกลวง หรือไฟล์ดาวน์โหลดที่ถูกฝังมัลแวร์ มีแนวโน้มสูงที่จะถูกนำมาใช้เป็นช่องทางหลักในการแพร่กระจายการโจมตี
การปล่อยอัปเดตของ Microsoft ในครั้งนี้ ยังรวมถึงการออกแพตช์แก้ไขช่องโหว่อื่น ๆ บน Edge เพิ่มเติมอีก 2 รายการ ซึ่งถูกพบโดยทีมนักวิจัยกลุ่มเดียวกันนี้ด้วยเช่นกัน ได้แก่ :
- CVE-2026-45494 (คะแนน CVSS 5.0): ช่องโหว่ในระบบ navigation-handling ซึ่งอาจทำให้ผู้โจมตีสามารถทำ Script Injection ที่เป็นอันตรายข้ามโดเมนได้ ทั้งนี้การโจมตีจะสำเร็จได้จำเป็นต้องอาศัยการโต้ตอบจากผู้ใช้
- CVE-2026-45492 (คะแนน CVSS 4.3): ช่องโหว่ที่เกิดจากการขาดการ validation ของแหล่งที่มาในระบบการ sign-in ที่มีการจัดการแบบข้ามอุปกรณ์ ซึ่งอาจทำให้ฟังก์ชันการทำงานที่ถูกจำกัดไว้ถูกเปิดเผยออกไปและสามารถนำไปเชื่อมโยงร่วมกับช่องโหว่อื่น ๆ เพื่อเพิ่มระดับความรุนแรงได้
Microsoft ได้เผยแพร่แพตช์แก้ไข พร้อมทั้งเตือนให้ผู้ใช้งานและผู้ดูแลระบบ ดำเนินการติดตั้งอัปเดตในทันที โดยมีแนวทางปฏิบัติที่แนะนำดังนี้:
- อัปเดต Microsoft Edge ให้เป็นเวอร์ชันล่าสุด: สามารถทำได้ผ่าน Microsoft Update หรือเข้าไปที่หน้า "เกี่ยวกับ Microsoft Edge" (Edge About page) ภายในเบราว์เซอร์
- ติดตั้งแพตช์ระบบปฏิบัติการ Windows: ดำเนินการอัปเดตทันทีหากได้รับการแจ้งเตือนจากระบบ Microsoft Update
- บล็อกหรือตรวจสอบไฟล์แนบและลิงก์ที่ไม่น่าเชื่อถือ โดยเฉพาะที่ถูกส่งมาทางอีเมลและแอปพลิเคชันรับส่งข้อความต่าง ๆ เพื่อป้องกันการโดนหลอกลวงจาก Social Engineering
- ใช้บัญชีผู้ใช้ที่มีสิทธิ์ต่ำสุดในการทำงานประจำวัน เพื่อจำกัดผลกระทบจากการโจมตี หากเกิดการโจมตีขึ้นจริง
- เฝ้าระวังระบบตรวจจับภัยคุกคามที่ Endpoint : ให้คอยตรวจสอบพฤติกรรมการจัดการไฟล์ที่ผิดปกติหรือกลไกการแฝงตัวอยู่ในระบบรูปแบบใหม่ ๆ ที่มีความเชื่อมโยงกับกระบวนการทำงานของเบราว์เซอร์
ช่องโหว่เหล่านี้ได้รับการรายงานไปยัง Microsoft เมื่อวันที่ 20 พฤษภาคม 2026 โดยได้มีการประสานงานร่วมกันเพื่อเผยแพร่และอัปเดตรายงานคำแนะนำด้านความปลอดภัยต่อสาธารณะในวันที่ 4 มิถุนายน 2026 ทั้งนี้ ทาง Microsoft ได้ให้เครดิตแก่ Orange Tsai (@orange_8361) จากทีมนักวิจัย DEVCORE (@d3vc0r3) ในฐานะผู้ค้นพบช่องโหว่ดังกล่าว
ผู้ดูแลระบบควรให้ความสำคัญในการอัปเดตแพตช์สำหรับหมายเลข CVE-2026-45495 ก่อนเป็นอันดับแรก เนื่องจากช่องโหว่นี้มีความเสี่ยงสูงที่จะถูกนำไปใช้รันโค้ดอันตราย พร้อมทั้งต้องเร่งดำเนินการติดตั้งแพตช์บนเครื่องคอมพิวเตอร์ของผู้ใช้งานทั้งหมด เพื่อลดโอกาสในการตกเป็นเป้าโจมตี
ที่มา : Cybersecuritynews
You must be logged in to post a comment.