Google ประกาศอัปเดตความปลอดภัยฉุกเฉินสำหรับ Chrome หลังตรวจพบการใช้ประโยชน์จากช่องโหว่ Zero-Day (CVE-2026-2441) ในการโจมตีจริง ช่องโหว่นี้ถูกจัดอยู่ในระดับความรุนแรงสูง และอาจเปิดทางให้รันโค้ดอันตรายผ่านเว็บไซต์ที่ถูกสร้างขึ้นเพื่อโจมตี
รายละเอียดช่องโหว่
ช่องโหว่ CVE-2026-2441 ถูกจัดเป็นบั๊กประเภท Use-After-Free ในระบบจัดการ CSS ของ Chrome มีคะแนนความรุนแรงอยู่ที่ 8.8 (High) โดยที่ Chrome จัดการหน่วยความจำผิดพลาดจนทำให้พื้นที่ที่ถูกปล่อยไปแล้วกลับมาใช้ใหม่ได้ ซึ่งอาจถูกใช้รันโค้ดอันตรายได้
ผลกระทบที่อาจเกิดขึ้น
หากผู้ใช้เข้าเว็บไซต์ที่ถูกสร้างขึ้นมาเพื่อโจมตี
- ผู้ไม่หวังดีสามารถรันโค้ดจากระยะไกล (Remote Code Execution)
- อาจใช้เป็นจุดเริ่มต้นของการเจาะระบบเพิ่มเติม
- เสี่ยงต่อข้อมูลรั่วไหลหรือมัลแวร์
แม้ว่า Chrome จะมีระบบ Sandbox ป้องกันอยู่ แต่ช่องโหว่ลักษณะนี้สามารถถูกใช้เป็นส่วนหนึ่งของชุดโจมตีขั้นสูงได้
แพตช์แก้ไขความปลอดภัย
Google ได้รับทราบปัญหา และปล่อยแพตช์ฉุกเฉิน สำหรับ Chrome ทุกแพลตฟอร์มหลักดังนี้
- Windows & macOS Chrome เวอร์ชัน 145.0.7632.75/76
- Linux Chrome เวอร์ชัน 144.0.7559.75
ในการตรวจอัปเดต สามารถทำได้ง่าย ๆ โดยการ
- เปิด Chrome
- ไปที่ “More” (จุดสามจุด)
- เลือก Help > About Google Chrome
- ถ้ามีอัปเดตกด Relaunch เพื่อรีสตาร์ทและติดตั้งแพตช์ หลังอัปเดตเสร็จ
หากใช้เบราว์เซอร์อื่นที่พัฒนาจาก Chromium (เช่น Edge, Brave, Opera, Vivaldi) ก็อย่าลืมไปอัปเดตเมื่อผู้พัฒนาปล่อยแพตช์ออกมา
คำแนะนำสำหรับองค์กร
- เร่ง deploy patch ผ่านระบบจัดการอุปกรณ์ (MDM / Endpoint Management)
- ตรวจสอบเวอร์ชัน Chrome ในองค์กรทั้งหมด
- เปิดใช้งาน Auto-Update หากยังไม่ได้เปิด
ช่องโหว่ Chrome Zero-Day เป็นบั๊กร้ายแรงที่ถูกใช้โจมตีจริงก่อนมีแพตช์ออกมา ที่แม้ผู้ใช้จะไม่ได้ติดตั้งโปรแกรมแปลก ๆ แต่เพียงแค่เข้าเว็บไซต์ที่ถูกฝังโค้ดอันตราย ก็อาจตกเป็นเป้าหมายได้ เพื่อปิดความเสี่ยงก่อนที่จะสายเกินไป อย่ามองข้ามการอัปเดตเล็ก ๆ เพราะบางครั้งมันคือด่านป้องกันที่สำคัญที่สุดของระบบคุณ
บริการของ hostatom
- บริการดูแลความปลอดภัยเว็บไซต์ WordPress / Web Hosting ช่วยป้องกันมัลแวร์และการแฮก
- บริการ Cloud VPS ที่ปลอดภัย สำหรับระบบที่ต้องการความมั่นคงสูง
- บริการ Google Workspace ที่มาพร้อมระบบความปลอดภัยระดับองค์กร
- บริการ SSL Certificate เพื่อเข้ารหัสข้อมูลสำคัญทุกการเชื่อมต่อ
ที่มา: The Hacker News
