Google ออกอัปเดตแพตซ์ความปลอดภัยอย่างเร่งด่วนสำหรับเบราว์เซอร์ Chrome เพื่อแก้ไขช่องโหว่ระดับ Critical 3 รายการ ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ดอันตรายบนระบบของผู้ใช้ได้
การอัปเดตเวอร์ชัน 138.0.7204.168/.169 บน Windows และ Mac, และ 138.0.7204.168 สำหรับ Linux กำลังทยอยเปิดให้ผู้ใช้ทั่วโลกสามารถอัปเดตได้ (more…)
Google ออกแพตซอัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-Day ของ Chrome หนึ่งรายการ (CVE-2025-6554) ที่กำลังถูกนำไปใช้ในการโจมตี ซึ่งถือเป็นช่องโหว่ที่สี่ที่ได้รับการแก้ไขนับตั้งแต่ต้นปี 2025
(more…)
เมื่อวันจันทร์ที่ผ่านมา Google ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 3 รายการในเบราว์เซอร์ Chrome ซึ่งรวมถึงหนึ่งช่องโหว่ที่บริษัทพบว่าถูกนำไปใช้ในการโจมตีแล้ว (more…)
Google ประกาศว่า Chrome เวอร์ชัน 137 ได้เข้าสู่สถานะ stable สำหรับแพลตฟอร์ม Windows, Mac และ Linux อย่างเป็นทางการแล้ว ซึ่งถือเป็นก้าวสำคัญในการยกระดับความปลอดภัยของเบราว์เซอร์ และการรวมเทคโนโลยีปัญญาประดิษฐ์เข้าด้วยกัน โดยทีมงาน Chrome ได้ประกาศ (more…)
Google กำลังทยอยเปลี่ยนแปลง Chromium โดย "ลดระดับสิทธิ์ (de-elevates)" ของ Google Chrome เพื่อไม่ให้เบราว์เซอร์ทำงานในโหมดของผู้ดูแลระบบ ซึ่งเป็นการเพิ่มความปลอดภัยบนระบบปฏิบัติการ Windows (more…)
เมื่อวันพุธที่ 14 พฤษภาคม 2025 ที่ผ่านมา Google ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 4 รายการในเว็บเบราว์เซอร์ Chrome ซึ่งรวมถึงช่องโหว่หนึ่งในนั้นที่บริษัทพบว่ามีการนำไปใช้ในการโจมตีจริงแล้ว
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-4664 (คะแนน CVSS: 4.3) ถูกระบุว่าเป็นกรณีของการบังคับใช้ insufficient policy ในส่วนประกอบที่เรียกว่า Loader
ตามคำอธิบายของช่องโหว่ดังกล่าว ถูกระบุว่า "การบังคับใช้ Insufficient policy ในส่วน Loader ของ Google Chrome ในเวอร์ชันก่อนหน้านี้ 136.0.7103.113 ทำให้ผู้โจมตีจากภายนอกสามารถทำให้เกิดการรั่วไหลของ cross-origin data ผ่าน HTML page ที่ถูกสร้างขึ้นมาเป็นพิเศษได้"
Google ได้ให้เครดิตกับ Vsevolod Kokorin (@slonser_) นักวิจัยด้านความปลอดภัย ที่เป็นผู้เปิดเผยรายละเอียดของช่องโหว่ดังกล่าวบน X เมื่อวันที่ 5 พฤษภาคม 2025 พร้อมระบุว่าบริษัททราบแล้วว่า มีการนำช่องโหว่ CVE-2025-4664 ไปใช้ในการโจมตีจริง
Kokorin ระบุบน X เมื่อต้นเดือนนี้ว่า "แตกต่างจากเบราว์เซอร์อื่น ๆ เพราะ Chrome ทำการประมวลผล Link header บน request ของ sub-resource และปัญหาคือ Link header สามารถกำหนด referrer-policy ได้ ซึ่งเราสามารถระบุค่า unsafe-url และดักจับ query parameters ทั้งหมดได้"
นักวิจัยระบุเพิ่มเติมว่า Query parameters อาจมีข้อมูลสำคัญที่สามารถนำไปสู่การยึดครองบัญชีของผู้ใช้ทั้งหมดได้ และข้อมูลของ Query parameter เหล่านี้สามารถถูกขโมยผ่านรูปภาพจากแหล่งภายนอกได้
ยังไม่ชัดเจนว่าช่องโหว่นี้ถูกนำไปใช้ในบริบทที่เป็นอันตรายนอกเหนือจากการสาธิตแบบ Proof-of-Concept (PoC) นี้หรือไม่ ช่องโหว่ CVE-2025-4664 นี้นับเป็นช่องโหว่รายการที่สองต่อจาก CVE-2025-2783 ที่ถูกพบว่ามีการนำไปใช้ในการโจมตีจริง
เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น ขอแนะนำให้ผู้ใช้ทำการอัปเดตเบราว์เซอร์ Chrome ของตนให้เป็นเวอร์ชัน 136.0.7103.113/.114 สำหรับ Windows กับ Mac และเวอร์ชัน 136.0.7103.113 สำหรับ Linux นอกจากนี้ ผู้ใช้เบราว์เซอร์อื่น ๆ ที่พัฒนาบนพื้นฐาน Chromium เช่น Microsoft Edge, Brave, Opera และ Vivaldi ก็ควรอัปเดตแพตช์ทันทีเมื่อมีการปล่อยการอัปเดตออกมาเช่นกัน
ที่มา : thehackernews
เมื่อวันที่ 08 พฤษภาคม 2025 ที่ผ่านมาทาง Google ได้ประกาศเปิดตัวมาตรการรับมือรูปแบบใหม่ที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ (Artificial Intelligence - AI) เพื่อป้องกันการหลอกลวงใน Chrome, Search และ Android (more…)
เมื่อวันอังคารที่ผ่านมา (22 เมษายน 2025) Google เปิดเผยว่า จะไม่เสนอ standalone prompt สำหรับคุกกี้ของ third-party ในเบราว์เซอร์ Chrome อีกต่อไป ซึ่งเป็นส่วนหนึ่งของโครงการ Privacy Sandbox (more…)
การโจมตีแบบ "Polymorphic" ที่ถูกคิดค้นขึ้นใหม่ทำให้ Chrome extensions ที่เป็นอันตรายสามารถเปลี่ยนรูปแบบเป็น extensions อื่น ๆ ได้ รวมถึง Password managers, Crypto wallets และแอปพลิเคชันธนาคาร เพื่อขโมยข้อมูลที่สำคัญ
(more…)
Mozilla ได้ยืนยันอีกครั้งถึงความมุ่งมั่นในการสนับสนุน extensions ที่ใช้ Manifest V2 ควบคู่ไปกับ Manifest V3 ทำให้ผู้ใช้สามารถเลือกใช้ extensions ที่ต้องการในเบราว์เซอร์ของตนได้อย่างอิสระ (more…)