Google แก้ไขช่องโหว่ Zero-day บน Chrome รายการที่สี่ที่มีการนำมาใช้โจมตีในปี 2026

Google ได้ปล่อยอัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day อีกหนึ่งรายการบน Chrome ที่กำลังถูกนำไปใช้ในการโจมตี ซึ่งนับเป็นช่องโหว่ความปลอดภัยรายการที่สี่ที่ได้รับการแก้ไขตั้งแต่เริ่มต้นปีนี้เป็นต้นมา

Google ระบุในประกาศด้านความปลอดภัยที่ออกเมื่อวันอังคารว่า "Google รับทราบว่ามีช่องโหว่ CVE-2026-5281 ที่กำลังถูกนำไปใช้ในการโจมตี" (more…)

Read more

Google แก้ไขช่องโหว่ Zero-day ใหม่ 2 รายการใน Chrome หลังพบกำลังถูกใช้ในการโจมตีจริง

Google ออกอัปเดตแพตซ์ความปลอดภัยฉุกเฉิน เพื่อแก้ไขช่องโหว่ระดับความรุนแรงสูงบน Chrome 2 รายการ ซึ่งถูกตรวจพบว่ามีการนำไปใช้ในการโจมตีจริงแบบ Zero-day เรียบร้อยแล้ว (more…)

Read more

ช่องโหว่บน Chrome ทำให้ extensions สามารถเข้าควบคุมกล้อง ไมโครโฟน และการเข้าถึงไฟล์ของ Gemini ได้

พบช่องโหว่ด้านความปลอดภัยระดับความรุนแรงสูง หมายเลข CVE-2026-0628 ซึ่งเกิดขึ้นกับฟีเจอร์ "Live in Chrome" ของ Gemini ช่องโหว่นี้ทำให้ extension ที่มีสิทธิ์ต่ำสามารถฝังโค้ดเข้าไปใน side panel ของ Gemini ซึ่งทำให้ extension นั้นได้รับสิทธิ์การทำงานระดับสูงทันที เช่น การเข้าถึงไฟล์ในเครื่อง, การจับภาพหน้าจอ และการควบคุมกล้อง/ไมโครโฟน

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วในการอัปเดตเมื่อเดือนมกราคมที่ผ่านมา แต่ประเด็นที่ลึกไปกว่านั้นคือ AI เบราว์เซอร์ หรือ Agentic เบราว์เซอร์ กำลังก้าวข้ามขอบเขต Isolation boundaries ที่มีมาอย่างยาวนาน ส่งผลให้การโจมตีจาก extension, Prompt injection และการหลอกลวงผ่าน UI ที่ดูน่าเชื่อถือกลายเป็นอันตรายที่รุนแรงขึ้นกว่าเดิมมาก (more…)

Read more

Google ออกแพตช์แก้ไขช่องโหว่ Zero-Day รายการแรกของปีบน Chrome หลังพบกำลังถูกใช้ในการโจมตีจริงในปีนี้

Google ได้ออกแพตช์อัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงใน Chrome ที่ถูกใช้ในการโจมตีแบบ Zero-Day ซึ่งนับเป็นช่องโหว่ด้านความปลอดภัยรายการแรกที่ได้รับการแก้ไขตั้งแต่ต้นปี

Google ระบุในคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันศุกร์ที่ 13 กุมภาพันธ์ที่ผ่านมา "ทาง Google รับทราบแล้วว่ามีการนำช่องโหว่ CVE-2026-2441 ไปใช้ในการโจมตีจริง"

(more…)

Read more

Trust Wallet ออกมายอมรับต่อเหตุการณ์การโจมตีผ่าน Extension บนเบราว์เซอร์ ส่งผลให้ Crypto ถูกขโมยสูญเงินกว่า 7 ล้านดอลลาร์

Trust Wallet ออกมายอมรับว่าระบบการอัปเดต Extension บน Chrome ซึ่งถูกปล่อยออกมาเมื่อวันที่ 24 ธันวาคมที่ผ่านมาถูกโจมตี ส่งผลให้ Cryptocurrency มูลค่า 7 ล้านดอลลาร์ถูกขโมยออกไป หลังจากผู้ใช้งานหลายรายรายงานว่าเงินใน Wallet ถูกโอนออกจนหมด (more…)

Read more

Google แก้ไขช่องโหว่ Zero-day ของ Chrome ครั้งที่ 8 ที่ถูกนำไปใช้โจมตีในปี 2025

Google ได้ออกแพตช์อัปเดตเร่งด่วนเพื่อแก้ไขช่องโหว่ Zero-day ของ Chrome ซึ่งกำลังถูกนำไปใช้ในการโจมตีแล้ว นับเป็นช่องโหว่ด้านความปลอดภัยคร้ังที่แปด ที่ได้รับการแก้ไขตั้งแต่ต้นปี

Google ระบุในประกาศด้านความปลอดภัย โดยระบุว่า "บริษัทรับทราบถึงการที่ช่องโหว่หมายเลข 466192044 กำลังถูกนำไปใช้ในการโจมตีจริงอยู่ในปัจจุบัน" (more…)

Read more

Chrome ปล่อยแพตซ์ Emergency Update เพื่อแก้ไขช่องโหว่ Remote Code Execution หลายรายการ

Google ได้ปล่อยแพตช์ความปลอดภัยเร่งด่วนสำหรับเบราว์เซอร์ Chrome เพื่อแก้ไขช่องโหว่ 5 รายการ ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)

Read more

Google Chrome เพิ่มการแจ้งเตือนผู้ใช้ก่อนเปิดเว็บไซต์ที่ใช้แค่ HTTP

Google ออกประกาศเมื่อวันที่ 28 ตุลาคม 2025 ที่ผ่านมา โดยระบุว่า เว็บเบราว์เซอร์ Chrome จะขอ permission จากผู้ใช้ก่อนที่จะทำการเชื่อมต่อไปยังเว็บไซต์ที่ใช้แค่ HTTP ซึ่งไม่ปลอดภัย โดยจะเริ่มบังคับใช้ตั้งแต่ Chrome เวอร์ชัน 154 ในเดือนตุลาคม 2026

นอกจากนี้ Google Chrome ยังมี "HTTPS-First Mode แบบที่ผู้ใช้ต้องเลือกเปิดเอง (opt-in) มาตั้งแต่ปี 2021 ซึ่งได้เพิ่มการตั้งค่า "Always Use Secure Connections" (ใช้การเชื่อมต่อที่ปลอดภัยเสมอ) โดยโหมดนี้จะพยายามเชื่อมต่อเว็บไซต์ผ่าน HTTPS (HyperText Transfer Protocol Secure) ก่อนเสมอ และจะแสดงคำเตือนที่สามารถกดข้ามได้ หากเว็บไซต์นั้นไม่รองรับ HTTPS

อย่างไรก็ตาม ตอนนี้ Google จะเปิดใช้งานตัวเลือกนี้เป็นค่า default เพื่อให้แน่ใจว่าผู้ใช้เข้าชมเว็บไซต์ผ่าน HTTPS เท่านั้น และได้รับการปกป้องอยู่เสมอจากการโจมตีแบบ "Man-in-the-Middle" (MITM) ที่พยายามดักจับข้อมูล หรือเปลี่ยนแปลงข้อมูลที่แลกเปลี่ยนกับเซิร์ฟเวอร์ผ่านโปรโตคอล HTTP ที่ไม่ได้เข้ารหัส

ทีมรักษาความปลอดภัยของ Chrome ระบุว่า "อีกหนึ่งปีนับจากนี้ เมื่อ Chrome 154 เปิดตัวในเดือนตุลาคม 2026 Chrome จะเปลี่ยนการตั้งค่า default ของ Chrome เพื่อเปิดใช้งาน 'Always Use Secure Connections' ซึ่งหมายความว่า Chrome จะขอ permission จากผู้ใช้ก่อนที่จะเข้าถึงเว็บไซต์ใด ๆ ที่ไม่มี HTTPS ก่อนเสมอ"

"เมื่อลิงก์ต่าง ๆ ที่ไม่ได้ใช้ HTTPS ผู้โจมตีจะสามารถ hijack และบังคับให้ผู้ใช้ Chrome โหลดทรัพยากรใด ๆ ก็ได้ที่ผู้โจมตีควบคุมอยู่ ซึ่งทำให้ผู้ใช้ตกอยู่ในความเสี่ยงต่อมัลแวร์, การโจมตีระบบที่เป็นเป้าหมาย หรือการโจมตีแบบ social engineering"

ตามที่ Google ได้อธิบายเพิ่มเติม ไม่ว่าการตั้งค่า "Always Use Secure Connections" จะถูกปรับใช้ในรูปแบบใดก็ตาม Chrome จะไม่เตือนผู้ใช้ซ้ำ ๆ เกี่ยวกับเว็บไซต์นั้น ตราบใดที่ผู้ใช้ยังคงเข้าชมเว็บไซต์ที่ไม่ปลอดภัยดังกล่าว "เป็นประจำ" ซึ่งหมายความว่าแทนที่จะเตือนผู้ใช้ (เช่น เตือน 1 ครั้ง ต่อการเข้าชม 50 ครั้ง) แต่ Chrome จะเตือนผู้ใช้เฉพาะเมื่อพวกเขาเปิดเว็บไซต์ใหม่ (หรือเว็บไซต์ที่เข้าชมไม่บ่อย) ที่ไม่ใช้ HTTPS เท่านั้น

นอกจากนี้ ผู้ใช้ยังสามารถเลือกได้ว่าจะให้เปิดการแจ้งเตือนการเชื่อมต่อที่ไม่ปลอดภัยเฉพาะกับ Public เว็บไซต์เท่านั้น หรือให้แจ้งเตือนทั้ง Public เว็บไซต์ และ Private เว็บไซต์ (รวมถึง Intranets ภายในองค์กร)

สิ่งสำคัญคือต้องทราบว่า แม้ Private เว็บไซต์จะยังคงมีความเสี่ยง แต่โดยทั่วไปถือว่าอันตรายน้อยกว่า Public เว็บไซต์ เนื่องจากผู้โจมตีมีโอกาสในการใช้การโจมตีจากเว็บเหล่านี้น้อยกว่า และการใช้ HTTP ในการโจมตีนั้น สามารถทำได้ในบริบทที่จำกัดมากกว่า เช่น local network อย่าง Wi-Fi ที่บ้าน หรือระบบภายในเครือข่ายขององค์กร

อย่างไรก็ตาม แม้ว่าจะเปิดการแจ้งเตือนทั้งสองประเภท (ทั้ง Public และ Private เว็บ) ผู้ใช้ก็จะไม่ถูกรบกวนด้วยการแจ้งเตือนมากเกินไป เนื่องจากในปัจจุบันราว 95-99% ของเว็บไซต์ทั้งหมดได้เปลี่ยนมาใช้ HTTPS แล้ว ซึ่งเพิ่มขึ้นอย่างมากจากอัตราการใช้งานในปี 2015 ที่อยู่ประมาณ 30-45%

ก่อนที่จะเปิดใช้งานฟีเจอร์นี้เป็นค่า default สำหรับผู้ใช้ทุกคน Chrome จะเปิดใช้งาน "Always Use Secure Connections" สำหรับ Public เว็บไซต์ ให้กับผู้ใช้กว่า 1 พันล้านคนที่ใช้การป้องกันแบบ "Enhanced Safe Browsing" ก่อน ในเดือนเมษายน 2026 เมื่อ Chrome เวอร์ชัน 147 เปิดตัว

Google ระบุเพิ่มเติมว่า "แม้จะคาดหวังว่าการเปลี่ยนแปลงครั้งนี้ให้เป็นไปอย่างราบรื่นสำหรับผู้ใช้ส่วนใหญ่ แต่ผู้ใช้จะยังคงสามารถปิดการแจ้งเตือนเหล่านี้ได้ โดยการปิดการตั้งค่า 'Always Use Secure Connections'"

"หากคุณเป็นนักพัฒนาเว็บไซต์ หรือผู้เชี่ยวชาญด้านไอที และคุณมีผู้ใช้ที่อาจได้รับผลกระทบจากฟีเจอร์นี้ ขอแนะนำให้เปิดใช้งานการตั้งค่า 'Always Use Secure Connections' ตั้งแต่วันนี้ เพื่อช่วยระบุเว็บไซต์ที่อาจจะต้องดำเนินการเพื่อ migrate ไปใช้ HTTPS"

ในเดือนตุลาคม 2023 Google Chrome ได้เพิ่มฟีเจอร์ HTTPS-Upgrades ซึ่งจะอัปเกรดลิงก์ HTTP ภายในหน้าเว็บไปเป็นการเชื่อมต่อที่ปลอดภัยโดยอัตโนมัติสำหรับผู้ใช้ทุกคน ในขณะเดียวกันก็จะสามารถย้อนกลับไปใช้ HTTP ได้อย่างรวดเร็วหากจำเป็น

เมื่อต้นเดือนที่ผ่านมา Google ยังได้อัปเดตเว็บเบราว์เซอร์อีกครั้ง เพื่อให้เพิกถอนสิทธิ์การแจ้งเตือนโดยอัตโนมัติ สำหรับเว็บไซต์ที่ไม่มีการเข้าชมเมื่อเร็ว ๆ นี้ เพื่อลดภาระการแจ้งเตือนที่มากเกินไป

ที่มา : bleepingcomputer

Read more

แฮ็กเกอร์สามารถโจมตีเบราว์เซอร์ Chromium-based ใน Windows ได้ด้วยการโหลด Extensions ที่เป็นอันตราย

เบราว์เซอร์ที่ใช้ Chromium-based เช่น Chrome, Edge, และ Brave จัดการ extensions ที่ติดตั้งผ่านไฟล์ JSON preference ซึ่งจัดเก็บไว้ที่ %AppData%\Google\User Data\Default\Preferences (สำหรับเครื่องที่อยู่ในโดเมน) หรือ Secure Preferences (สำหรับระบบทั่วไป)

(more…)

Read more

Google ออกแพตช์แก้ไขช่องโหว่ Zero-day บน Chrome ที่กำลังถูกใช้ในการโจมตี เป็น Zero-day ครั้งที่ 6 ในปีนี้

Google ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ zero-day บน Chrome ซึ่งนับเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีเป็นครั้งที่หกตั้งแต่ต้นปีนี้ (more…)

Read more