Google ได้ปล่อยแพตช์ความปลอดภัยเร่งด่วนสำหรับเบราว์เซอร์ Chrome เพื่อแก้ไขช่องโหว่ 5 รายการ ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)

Google ออกประกาศเมื่อวันที่ 28 ตุลาคม 2025 ที่ผ่านมา โดยระบุว่า เว็บเบราว์เซอร์ Chrome จะขอ permission จากผู้ใช้ก่อนที่จะทำการเชื่อมต่อไปยังเว็บไซต์ที่ใช้แค่ HTTP ซึ่งไม่ปลอดภัย โดยจะเริ่มบังคับใช้ตั้งแต่ Chrome เวอร์ชัน 154 ในเดือนตุลาคม 2026

นอกจากนี้ Google Chrome ยังมี "HTTPS-First Mode แบบที่ผู้ใช้ต้องเลือกเปิดเอง (opt-in) มาตั้งแต่ปี 2021 ซึ่งได้เพิ่มการตั้งค่า "Always Use Secure Connections" (ใช้การเชื่อมต่อที่ปลอดภัยเสมอ) โดยโหมดนี้จะพยายามเชื่อมต่อเว็บไซต์ผ่าน HTTPS (HyperText Transfer Protocol Secure) ก่อนเสมอ และจะแสดงคำเตือนที่สามารถกดข้ามได้ หากเว็บไซต์นั้นไม่รองรับ HTTPS

อย่างไรก็ตาม ตอนนี้ Google จะเปิดใช้งานตัวเลือกนี้เป็นค่า default เพื่อให้แน่ใจว่าผู้ใช้เข้าชมเว็บไซต์ผ่าน HTTPS เท่านั้น และได้รับการปกป้องอยู่เสมอจากการโจมตีแบบ "Man-in-the-Middle" (MITM) ที่พยายามดักจับข้อมูล หรือเปลี่ยนแปลงข้อมูลที่แลกเปลี่ยนกับเซิร์ฟเวอร์ผ่านโปรโตคอล HTTP ที่ไม่ได้เข้ารหัส

ทีมรักษาความปลอดภัยของ Chrome ระบุว่า "อีกหนึ่งปีนับจากนี้ เมื่อ Chrome 154 เปิดตัวในเดือนตุลาคม 2026 Chrome จะเปลี่ยนการตั้งค่า default ของ Chrome เพื่อเปิดใช้งาน 'Always Use Secure Connections' ซึ่งหมายความว่า Chrome จะขอ permission จากผู้ใช้ก่อนที่จะเข้าถึงเว็บไซต์ใด ๆ ที่ไม่มี HTTPS ก่อนเสมอ"

"เมื่อลิงก์ต่าง ๆ ที่ไม่ได้ใช้ HTTPS ผู้โจมตีจะสามารถ hijack และบังคับให้ผู้ใช้ Chrome โหลดทรัพยากรใด ๆ ก็ได้ที่ผู้โจมตีควบคุมอยู่ ซึ่งทำให้ผู้ใช้ตกอยู่ในความเสี่ยงต่อมัลแวร์, การโจมตีระบบที่เป็นเป้าหมาย หรือการโจมตีแบบ social engineering"

ตามที่ Google ได้อธิบายเพิ่มเติม ไม่ว่าการตั้งค่า "Always Use Secure Connections" จะถูกปรับใช้ในรูปแบบใดก็ตาม Chrome จะไม่เตือนผู้ใช้ซ้ำ ๆ เกี่ยวกับเว็บไซต์นั้น ตราบใดที่ผู้ใช้ยังคงเข้าชมเว็บไซต์ที่ไม่ปลอดภัยดังกล่าว "เป็นประจำ" ซึ่งหมายความว่าแทนที่จะเตือนผู้ใช้ (เช่น เตือน 1 ครั้ง ต่อการเข้าชม 50 ครั้ง) แต่ Chrome จะเตือนผู้ใช้เฉพาะเมื่อพวกเขาเปิดเว็บไซต์ใหม่ (หรือเว็บไซต์ที่เข้าชมไม่บ่อย) ที่ไม่ใช้ HTTPS เท่านั้น

นอกจากนี้ ผู้ใช้ยังสามารถเลือกได้ว่าจะให้เปิดการแจ้งเตือนการเชื่อมต่อที่ไม่ปลอดภัยเฉพาะกับ Public เว็บไซต์เท่านั้น หรือให้แจ้งเตือนทั้ง Public เว็บไซต์ และ Private เว็บไซต์ (รวมถึง Intranets ภายในองค์กร)

สิ่งสำคัญคือต้องทราบว่า แม้ Private เว็บไซต์จะยังคงมีความเสี่ยง แต่โดยทั่วไปถือว่าอันตรายน้อยกว่า Public เว็บไซต์ เนื่องจากผู้โจมตีมีโอกาสในการใช้การโจมตีจากเว็บเหล่านี้น้อยกว่า และการใช้ HTTP ในการโจมตีนั้น สามารถทำได้ในบริบทที่จำกัดมากกว่า เช่น local network อย่าง Wi-Fi ที่บ้าน หรือระบบภายในเครือข่ายขององค์กร

อย่างไรก็ตาม แม้ว่าจะเปิดการแจ้งเตือนทั้งสองประเภท (ทั้ง Public และ Private เว็บ) ผู้ใช้ก็จะไม่ถูกรบกวนด้วยการแจ้งเตือนมากเกินไป เนื่องจากในปัจจุบันราว 95-99% ของเว็บไซต์ทั้งหมดได้เปลี่ยนมาใช้ HTTPS แล้ว ซึ่งเพิ่มขึ้นอย่างมากจากอัตราการใช้งานในปี 2015 ที่อยู่ประมาณ 30-45%

ก่อนที่จะเปิดใช้งานฟีเจอร์นี้เป็นค่า default สำหรับผู้ใช้ทุกคน Chrome จะเปิดใช้งาน "Always Use Secure Connections" สำหรับ Public เว็บไซต์ ให้กับผู้ใช้กว่า 1 พันล้านคนที่ใช้การป้องกันแบบ "Enhanced Safe Browsing" ก่อน ในเดือนเมษายน 2026 เมื่อ Chrome เวอร์ชัน 147 เปิดตัว

Google ระบุเพิ่มเติมว่า "แม้จะคาดหวังว่าการเปลี่ยนแปลงครั้งนี้ให้เป็นไปอย่างราบรื่นสำหรับผู้ใช้ส่วนใหญ่ แต่ผู้ใช้จะยังคงสามารถปิดการแจ้งเตือนเหล่านี้ได้ โดยการปิดการตั้งค่า 'Always Use Secure Connections'"

"หากคุณเป็นนักพัฒนาเว็บไซต์ หรือผู้เชี่ยวชาญด้านไอที และคุณมีผู้ใช้ที่อาจได้รับผลกระทบจากฟีเจอร์นี้ ขอแนะนำให้เปิดใช้งานการตั้งค่า 'Always Use Secure Connections' ตั้งแต่วันนี้ เพื่อช่วยระบุเว็บไซต์ที่อาจจะต้องดำเนินการเพื่อ migrate ไปใช้ HTTPS"

ในเดือนตุลาคม 2023 Google Chrome ได้เพิ่มฟีเจอร์ HTTPS-Upgrades ซึ่งจะอัปเกรดลิงก์ HTTP ภายในหน้าเว็บไปเป็นการเชื่อมต่อที่ปลอดภัยโดยอัตโนมัติสำหรับผู้ใช้ทุกคน ในขณะเดียวกันก็จะสามารถย้อนกลับไปใช้ HTTP ได้อย่างรวดเร็วหากจำเป็น

เมื่อต้นเดือนที่ผ่านมา Google ยังได้อัปเดตเว็บเบราว์เซอร์อีกครั้ง เพื่อให้เพิกถอนสิทธิ์การแจ้งเตือนโดยอัตโนมัติ สำหรับเว็บไซต์ที่ไม่มีการเข้าชมเมื่อเร็ว ๆ นี้ เพื่อลดภาระการแจ้งเตือนที่มากเกินไป

ที่มา : bleepingcomputer

เบราว์เซอร์ที่ใช้ Chromium-based เช่น Chrome, Edge, และ Brave จัดการ extensions ที่ติดตั้งผ่านไฟล์ JSON preference ซึ่งจัดเก็บไว้ที่ %AppData%\Google\User Data\Default\Preferences (สำหรับเครื่องที่อยู่ในโดเมน) หรือ Secure Preferences (สำหรับระบบทั่วไป)

(more…)

Google ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ zero-day บน Chrome ซึ่งนับเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีเป็นครั้งที่หกตั้งแต่ต้นปีนี้ (more…)

Google ได้เผยแพร่การอัปเดตความปลอดภัยฉุกเฉินสำหรับ Chrome เพื่อแก้ไขช่องโหว่ร้ายแรง Use-After-Free (CVE-2025-9478) ใน ANGLE graphics library ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดใด ๆ บนระบบที่ถูกโจมตีได้ (more…)

Google ออกอัปเดตแพตซ์ความปลอดภัยอย่างเร่งด่วนสำหรับเบราว์เซอร์ Chrome เพื่อแก้ไขช่องโหว่ระดับ Critical 3 รายการ ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ดอันตรายบนระบบของผู้ใช้ได้

การอัปเดตเวอร์ชัน 138.0.7204.168/.169 บน Windows และ Mac, และ 138.0.7204.168 สำหรับ Linux กำลังทยอยเปิดให้ผู้ใช้ทั่วโลกสามารถอัปเดตได้ (more…)

Google ออกแพตซอัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-Day ของ Chrome หนึ่งรายการ (CVE-2025-6554) ที่กำลังถูกนำไปใช้ในการโจมตี ซึ่งถือเป็นช่องโหว่ที่สี่ที่ได้รับการแก้ไขนับตั้งแต่ต้นปี 2025

(more…)

เมื่อวันจันทร์ที่ผ่านมา Google ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 3 รายการในเบราว์เซอร์ Chrome ซึ่งรวมถึงหนึ่งช่องโหว่ที่บริษัทพบว่าถูกนำไปใช้ในการโจมตีแล้ว (more…)

Google ประกาศว่า Chrome เวอร์ชัน 137 ได้เข้าสู่สถานะ stable สำหรับแพลตฟอร์ม Windows, Mac และ Linux อย่างเป็นทางการแล้ว ซึ่งถือเป็นก้าวสำคัญในการยกระดับความปลอดภัยของเบราว์เซอร์ และการรวมเทคโนโลยีปัญญาประดิษฐ์เข้าด้วยกัน โดยทีมงาน Chrome ได้ประกาศ (more…)

Google กำลังทยอยเปลี่ยนแปลง Chromium โดย "ลดระดับสิทธิ์ (de-elevates)" ของ Google Chrome เพื่อไม่ให้เบราว์เซอร์ทำงานในโหมดของผู้ดูแลระบบ ซึ่งเป็นการเพิ่มความปลอดภัยบนระบบปฏิบัติการ Windows (more…)