Google ออกแพตช์อัปเดตฉุกเฉินหลังพบช่องโหว่ Zero-Day ใหม่บน Chrome ที่กำลังถูกใช้ในการโจมตี

เมื่อวันจันทร์ที่ผ่านมา Google ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 3 รายการในเบราว์เซอร์ Chrome ซึ่งรวมถึงหนึ่งช่องโหว่ที่บริษัทพบว่าถูกนำไปใช้ในการโจมตีแล้ว (more…)

Chrome อัปเดตแพตซ์ด้านความปลอดภัยแก้ไขช่องโหว่ระดับความรุนแรงสูงซึ่งนำไปสู่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาต

Google ประกาศว่า Chrome เวอร์ชัน 137 ได้เข้าสู่สถานะ stable สำหรับแพลตฟอร์ม Windows, Mac และ Linux อย่างเป็นทางการแล้ว ซึ่งถือเป็นก้าวสำคัญในการยกระดับความปลอดภัยของเบราว์เซอร์ และการรวมเทคโนโลยีปัญญาประดิษฐ์เข้าด้วยกัน โดยทีมงาน Chrome ได้ประกาศ (more…)

Google Chrome จะบล็อกการเปิดใช้งานเบราว์เซอร์ในระดับสิทธิ์ Admin เพื่อเพิ่มความปลอดภัยให้มากขึ้น

Google กำลังทยอยเปลี่ยนแปลง Chromium โดย "ลดระดับสิทธิ์ (de-elevates)" ของ Google Chrome เพื่อไม่ให้เบราว์เซอร์ทำงานในโหมดของผู้ดูแลระบบ ซึ่งเป็นการเพิ่มความปลอดภัยบนระบบปฏิบัติการ Windows (more…)

ช่องโหว่ใหม่ใน Chrome ที่ทำให้เกิดการรั่วไหลของข้อมูล Cross-Origin ผ่าน Loader Referrer Policy

เมื่อวันพุธที่ 14 พฤษภาคม 2025 ที่ผ่านมา Google ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 4 รายการในเว็บเบราว์เซอร์ Chrome ซึ่งรวมถึงช่องโหว่หนึ่งในนั้นที่บริษัทพบว่ามีการนำไปใช้ในการโจมตีจริงแล้ว

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-4664 (คะแนน CVSS: 4.3) ถูกระบุว่าเป็นกรณีของการบังคับใช้ insufficient policy ในส่วนประกอบที่เรียกว่า Loader

ตามคำอธิบายของช่องโหว่ดังกล่าว ถูกระบุว่า "การบังคับใช้ Insufficient policy ในส่วน Loader ของ Google Chrome ในเวอร์ชันก่อนหน้านี้ 136.0.7103.113 ทำให้ผู้โจมตีจากภายนอกสามารถทำให้เกิดการรั่วไหลของ cross-origin data ผ่าน HTML page ที่ถูกสร้างขึ้นมาเป็นพิเศษได้"

Google ได้ให้เครดิตกับ Vsevolod Kokorin (@slonser_) นักวิจัยด้านความปลอดภัย ที่เป็นผู้เปิดเผยรายละเอียดของช่องโหว่ดังกล่าวบน X เมื่อวันที่ 5 พฤษภาคม 2025 พร้อมระบุว่าบริษัททราบแล้วว่า มีการนำช่องโหว่ CVE-2025-4664 ไปใช้ในการโจมตีจริง

Kokorin ระบุบน X เมื่อต้นเดือนนี้ว่า "แตกต่างจากเบราว์เซอร์อื่น ๆ เพราะ Chrome ทำการประมวลผล Link header บน request ของ sub-resource และปัญหาคือ Link header สามารถกำหนด referrer-policy ได้ ซึ่งเราสามารถระบุค่า unsafe-url และดักจับ query parameters ทั้งหมดได้"

นักวิจัยระบุเพิ่มเติมว่า Query parameters อาจมีข้อมูลสำคัญที่สามารถนำไปสู่การยึดครองบัญชีของผู้ใช้ทั้งหมดได้ และข้อมูลของ Query parameter เหล่านี้สามารถถูกขโมยผ่านรูปภาพจากแหล่งภายนอกได้

ยังไม่ชัดเจนว่าช่องโหว่นี้ถูกนำไปใช้ในบริบทที่เป็นอันตรายนอกเหนือจากการสาธิตแบบ Proof-of-Concept (PoC) นี้หรือไม่ ช่องโหว่ CVE-2025-4664 นี้นับเป็นช่องโหว่รายการที่สองต่อจาก CVE-2025-2783 ที่ถูกพบว่ามีการนำไปใช้ในการโจมตีจริง

เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น ขอแนะนำให้ผู้ใช้ทำการอัปเดตเบราว์เซอร์ Chrome ของตนให้เป็นเวอร์ชัน 136.0.7103.113/.114 สำหรับ Windows กับ Mac และเวอร์ชัน 136.0.7103.113 สำหรับ Linux นอกจากนี้ ผู้ใช้เบราว์เซอร์อื่น ๆ ที่พัฒนาบนพื้นฐาน Chromium เช่น Microsoft Edge, Brave, Opera และ Vivaldi ก็ควรอัปเดตแพตช์ทันทีเมื่อมีการปล่อยการอัปเดตออกมาเช่นกัน

ที่มา : thehackernews

Google เปิดตัวระบบป้องกันด้วย AI บนอุปกรณ์ เพื่อตรวจจับการหลอกลวงใน Chrome และ Android

 

เมื่อวันที่ 08 พฤษภาคม 2025 ที่ผ่านมาทาง Google ได้ประกาศเปิดตัวมาตรการรับมือรูปแบบใหม่ที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ (Artificial Intelligence - AI) เพื่อป้องกันการหลอกลวงใน Chrome, Search และ Android (more…)

Google ยกเลิกการแจ้งเตือนคุกกี้ใน Chrome และเพิ่มการป้องกัน IP ให้กับโหมดไม่ระบุตัวตน

เมื่อวันอังคารที่ผ่านมา (22 เมษายน 2025) Google เปิดเผยว่า จะไม่เสนอ standalone prompt สำหรับคุกกี้ของ third-party ในเบราว์เซอร์ Chrome อีกต่อไป ซึ่งเป็นส่วนหนึ่งของโครงการ Privacy Sandbox (more…)

Chrome extensions ที่เป็นอันตรายสามารถปลอมเป็น Password managers ในแคมเปญการโจมตีใหม่

การโจมตีแบบ "Polymorphic" ที่ถูกคิดค้นขึ้นใหม่ทำให้ Chrome extensions ที่เป็นอันตรายสามารถเปลี่ยนรูปแบบเป็น extensions อื่น ๆ ได้ รวมถึง Password managers, Crypto wallets และแอปพลิเคชันธนาคาร เพื่อขโมยข้อมูลที่สำคัญ

(more…)

Firefox ยังคงรองรับ Manifest V2 ขณะที่ Chrome ปิดการใช้งาน MV2 ad-blockers

Mozilla ได้ยืนยันอีกครั้งถึงความมุ่งมั่นในการสนับสนุน extensions ที่ใช้ Manifest V2 ควบคู่ไปกับ Manifest V3 ทำให้ผู้ใช้สามารถเลือกใช้ extensions ที่ต้องการในเบราว์เซอร์ของตนได้อย่างอิสระ (more…)

QR codes สามารถ bypass browser isolation เพื่อใช้ติดต่อกับ C2 Server ที่เป็นอันตรายได้

Mandiant ได้ระบุเทคนิคใหม่ในการ bypass เทคโนโลยี Browser Isolation และสามารถดำเนินการคำสั่ง และควบคุม (C2) ผ่าน QR codes ได้

Browser Isolation เป็นเทคโนโลยีด้านความปลอดภัยที่ได้รับความนิยมมากขึ้นเรื่อย ๆ ซึ่งจะส่ง requests จาก local web browser ทั้งหมดไปยัง remote web browsers ที่โฮสต์บนคลาวด์ หรือ Virtual Machines (VM)

(more…)

มัลแวร์ Infostealer สามารถ bypass การป้องการการขโมยคุกกี้แบบใหม่ของ Chrome ได้

นักพัฒนามัลแวร์ Infostealer ได้ปล่อยอัปเดตที่อ้างว่าสามารถ bypass ฟีเจอร์ App-Bound Encryption ซึ่งถูกเพิ่มเข้ามาเมื่อไม่นานนี้ ซึ่งถูกนำมาใช้ใน Google Chrome เพื่อป้องกันข้อมูลสำคัญอย่างเช่นคุกกี้ (more…)