Google ได้ออกการอัปเดตความปลอดภัยฉุกเฉินสำหรับ Chrome หลังจากค้นพบช่องโหว่ zero-day ที่มีความรุนแรงสูง ซึ่งอาชญากรไซเบอร์กำลังใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีในโลกจริงอย่างแพร่หลาย Threat Analysis Group ของบริษัทได้ระบุช่องโหว่นี้เมื่อปลายเดือนพฤษภาคม ทำให้ต้องตอบสนองทันทีเพื่อปกป้องผู้ใช้หลายล้านคนทั่วโลก
ช่องโหว่ V8 Engine ที่มีความรุนแรงสูงก่อให้เกิดความเสี่ยงร้ายแรง
ช่องโหว่ที่เพิ่งค้นพบนี้ได้รับการกำหนดรหัส CVE-2025-5419 โดยมุ่งเป้าไปที่ V8 JavaScript engine ของ Chrome ด้วยข้อบกพร่องการอ่านและเขียนข้อมูลนอกขอบเขต ความอ่อนแอด้านความปลอดภัยนี้ช่วยให้ผู้โจมตีระยะไกลสามารถใช้ประโยชน์จากการเสียหายของ heap ผ่านหน้า HTML ที่สร้างขึ้นเป็นพิเศษ ช่องโหว่นี้มีคะแนนความรุนแรงสูงถึง 8.8 ซึ่งสะท้อนถึงศักยภาพในการสร้างความเสียหายอย่างมีนัยสำคัญ
อาชญากรไซเบอร์สามารถใช้ประโยชน์จากข้อบกพร่องนี้โดยการสร้างเว็บไซต์ที่เป็นอันตรายซึ่งสามารถรันโค้ดตามต้องการบนระบบของผู้เยี่ยมชม เมื่อถูกใช้ประโยชน์แล้ว ช่องโหว่นี้อาจนำไปสู่การควบคุมระบบอย่างสมบูรณ์ การขโมยข้อมูลที่ละเอียดอ่อน หรือการติดตั้งมัลแวร์เพิ่มเติม การใช้งาน V8 engine อย่างแพร่หลายใน Chrome, Node.js และเว็บแอปพลิเคชันยอดนิยมเช่น Google Docs และ Gmail ทำให้ช่องโหว่นี้น่าวิตกเป็นพิเศษ
รายละเอียดช่องโหว่
- CVE ID: CVE-2025-5419
- คะแนนความรุนแรง: 8.8 (สูง)
- ประเภท: ช่องโหว่การอ่านและเขียนข้อมูลนอกขอบเขต
- ส่วนประกอบที่ได้รับผลกระทบ: เอนจิน JavaScript V8
- วันที่ค้นพบ: 27 พฤษภาคม 2025
- สถานะ: กำลังถูกใช้ประโยชน์อย่างแพร่หลายในโลกแห่งความเป็นจริง
ไทม์ไลน์การค้นพบและการตอบสนอง
นักวิจัยด้านความปลอดภัย Clement Lecigne และ Benoît Sevens จาก Threat Analysis Group ของ Google ได้ค้นพบและรายงานช่องโหว่นี้เมื่อวันที่ 27 พฤษภาคม 2025 Google ได้ดำเนินการอย่างรวดเร็วโดยผลักดันการเปลี่ยนแปลงการกำหนดค่าไปยัง Chrome เวอร์ชันเสถียรเพียงหนึ่งวันหลังจากการค้นพบ จากนั้นบริษัทได้ปล่อยการอัปเดตช่องทางเสถียรที่ครอบคลุมในวันจันทร์ โดยจัดการไม่เพียงแต่ zero-day เท่านั้น แต่ยังรวมถึงปัญหาความปลอดภัยเพิ่มเติมอีกสองประเด็น
Google ได้ยืนยันว่าผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่นี้ในโลกจริงอย่างแพร่หลาย แต่ได้เก็บรายละเอียดเฉพาะเจาะจงเกี่ยวกับวิธีการโจมตีและผู้กระทำไว้โดยเจตนา แนวทางที่ระมัดระวังนี้มีจุดประสงค์เพื่อป้องกันไม่ให้ผู้ประทำความชั่วรายอื่นใช้ประโยชน์จากบั๊กนี้ในขณะที่ผู้ใช้ Chrome ติดตั้งแพตช์ความปลอดภัยที่จำเป็น
ไทม์ไลน์ช่องโหว่ Zero-Day ของ Chrome ปี 2025
- มีนาคม 2025: Zero-day แรก - เปิดช่องให้มัลแวร์เข้าไปใช้งานในการโจมตีเพื่อสอดแนม
- พฤษภาคม 2025: Zero-day ที่สอง - อนุญาตให้เข้าควบคุมบัญชีผู้ใช้ได้
- มิถุนายน 2025: Zero-day ที่สาม ( CVE-2025-5419 ) - ช่องโหว่ในเอนจิน V8
ข้อมูลการอัปเดตที่จำเป็นสำหรับผู้ใช้
ผู้ใช้ Chrome ต้องอัปเดตไปยังเวอร์ชัน 137.0.7151.68 หรือ 137.0.7151.69 สำหรับระบบ Windows และ macOS หรือเวอร์ชัน 137.0.7151.68 สำหรับการแจกจ่าย Linux ทันที แม้ว่า Chrome มักจะอัปเดตโดยอัตโนมัติเมื่อรีสตาร์ทเบราว์เซอร์ แต่ผู้ใช้ควรตรวจสอบเวอร์ชันของตนเองด้วยตนเองเพื่อให้แน่ใจว่าได้รับการปกป้อง
เพื่อตรวจสอบการอัปเดต ผู้ใช้สามารถไปที่เมนู Chrome เลือก Help จากนั้นเลือก About Google Chrome หากมีการอัปเดตพร้อมใช้งาน ผู้ใช้ควรให้การติดตั้งเสร็จสิ้นและเปิดเบราว์เซอร์ใหม่ทันที กระบวนการตรวจสอบด้วยตนเองนี้มีความสำคัญอย่างยิ่งเนื่องจากการใช้ประโยชน์จากช่องโหว่อย่างแพร่หลาย
เวอร์ชัน Chrome ที่ต้องการ
- Windows: 137.0.7151.68 หรือ 137.0.7151.69
- macOS: 137.0.7151.68 หรือ 137.0.7151.69
- Linux: 137.0.7151.68
แนวโน้มที่เพิ่มขึ้นของการโจมตี Chrome Zero-Day
เหตุการณ์ความปลอดภัยล่าสุดนี้เป็นช่องโหว่ Chrome zero-day ตัวที่สามที่ค้นพบในปี 2025 ตามหลังแพตช์ฉุกเฉินก่อนหน้านี้ที่ปล่อยในเดือนมีนาคมและพฤษภาคม ข้อบกพร่องก่อนหน้านี้ทำให้สามารถติดตั้งมัลแวร์ในแคมเปญสอดแนมและอำนวยความสะดวกในการโจมตีเพื่อยึดครองบัญชีตามลำดับ แนวโน้มนี้แสดงถึงแนวทางที่น่าวิตก โดยเฉพาะอย่างยิ่งเมื่อพิจารณาว่า Google ได้จัดการกับช่องโหว่ zero-day สิบตัวใน Chrome ตลอดปี 2024
ความถี่ของปัญหาความปลอดภัยที่สำคัญเหล่านี้เน้นย้ำถึงความท้าทายที่ต่อเนื่องที่นักพัฒนาเบราว์เซอร์เผชิญในการรักษาความปลอดภัยต่อต้านผู้คุกคามที่มีความซับซ้อน ผู้ใช้ต้องยังคงระมัดระวังเกี่ยวกับการใช้การอัปเดตความปลอดภัยอย่างรวดเร็วเพื่อปกป้องตนเองจากภัยคุกคามที่เกิดขึ้นใหม่ที่มุ่งเป้าไปที่เว็บเบราว์เซอร์