เมื่อวันที่ 15 พฤษภาคม 2025 Google ได้ออกอัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ความปลอดภัยระดับสูงใน Google Chrome ที่ถูกระบุในรหัส CVE-2025-4664 ซึ่งเป็นช่องโหว่ในส่วน Loader โดยช่องโหว่นี้จัดอยู่ในระดับ High Severity และที่น่ากังวลคือมีโค้ดสำหรับการโจมตีเผยแพร่อยู่ในสาธารณะแล้วด้วย
ช่องโหว่นี้เกิดจากการบังคับใช้นโยบายที่ไม่เพียงพอ ซึ่งทำให้ผู้ไม่หวังดีสามารถใช้หน้า HTML ที่ออกแบบมาเฉพาะเพื่อดึงข้อมูลจากเว็บต้นทางอื่นได้แบบที่ไม่ควรจะทำได้ตามปกติ โดยนักวิจัยที่ค้นพบช่องโหว่นี้ได้ระบุว่า พฤติกรรมของ Chrome ในการจัดการกับ header link บนคำร้องขอแบบ subresource requests นั้นมีความต่างจากเบราว์เซอร์อื่น และอาจส่งผลให้สามารถตั้งค่า referrer-policy เป็น unsafe-url ได้ ซึ่งอาจเปิดทางให้แฮกเกอร์เข้าถึงข้อมูลที่ควรเป็นความลับ เช่น token ในลิงก์ OAuth
สิ่งที่น่าเป็นห่วงคือ ถ้าแฮกเกอร์ได้ข้อมูลที่อยู่ใน query parameters ของลิงก์ เช่น token สำหรับเข้าสู่ระบบหรือรับสิทธิ์ใช้งาน อาจถูกนำไปใช้เพื่อ เข้าควบคุมบัญชีผู้ใช้ หรือเข้าถึงข้อมูลสำคัญได้ ซึ่งเป็นการละเมิดความปลอดภัยขั้นร้ายแรง โดยเฉพาะในการใช้งานเว็บที่มีระบบ Single Sign-On หรือเชื่อมต่อ API
อย่างไรก็ตาม Google ได้รีบปล่อยอัปเดตเพื่ออุดช่องโหว่นี้แล้วในทันที ซึ่งผู้ใช้ควรตรวจสอบและอัปเดต Chrome ให้เป็นเวอร์ชันล่าสุดโดยด่วน นอกจากนี้ คำแนะนำเพิ่มเติมคือควรหลีกเลี่ยงการคลิกลิงก์จากแหล่งที่ไม่น่าเชื่อถือ และสำหรับนักพัฒนาเว็บไซต์เอง ก็ควรตั้งค่า referrer-policy ให้รัดกุม เพื่อป้องกันการรั่วไหลของข้อมูล
นอกจากความปลอดภัยบน Chrome แล้ว หากคุณต้องการเพิ่มความปลอดภัยให้เว็บไซต์ของตนเอง เพื่อเพิ่มความน่าเชื่อถือ และป้องกันเว็บไซต์จากภัยคุกคามต่าง ๆ อยู่เสมอ สามารถติดต่อทีมงาน hostatom ได้ตลอด 24 ชั่วโมง
ที่มา : BleepingComputer