Google ปล่อยอัปเดตความปลอดภัยแบบฉุกเฉินให้กับเบราว์เซอร์ Chrome หลังตรวจพบว่าช่องโหว่ใหม่ล่าสุดถูกใช้โจมตีจริงบนอินเทอร์เน็ต โดยช่องโหว่นี้มีรหัส CVE-2025-13223 และถือเป็น Zero-day ตัวที่ 7 ของปี 2025 แล้วที่บริษัทต้องเร่งแพตช์ให้ทันทีเพื่อป้องกันการโจมตีแบบเจาะจงเป้าหมาย
ช่องโหว่นี้เกิดจากอะไร?
Google ระบุว่า ช่องโหว่ CVE-2025-13223 เป็นปัญหา Type Confusion ใน V8 JavaScript Engine ซึ่งเป็นหัวใจหลักของการประมวลผล JavaScript บน Chrome หากผู้ไม่หวังดีเจาะช่องโหว่นี้ได้สำเร็จ อาจนำไปสู่การรันโค้ดอันตรายบนเครื่องของเหยื่อได้
ช่องโหว่นี้ถูกรายงานโดย Clement Lecigne จากทีม Google Threat Analysis Group (TAG) ซึ่งเป็นทีมที่ติดตามกิจกรรมของกลุ่มผู้โจมตีระดับรัฐ (state-sponsored) ที่มักมุ่งเป้าหมายไปยังนักข่าว นักเคลื่อนไหว ฝ่ายการเมืองฝ่ายค้าน และบุคคลที่มีความเสี่ยงสูง
แพตช์อัปเดต Chrome ที่ปล่อยในรอบนี้
Google แก้ไขช่องโหว่เรียบร้อยแล้วผ่านการอัปเดต Chrome เวอร์ชันต่อไปนี้:
- Windows: 142.0.7444.175/.176
- Mac: 142.0.7444.176
- Linux: 142.0.7444.175
อัปเดตเริ่มทยอยปล่อยให้ผู้ใช้ทุกคนบน Stable Channel แล้ว แต่สามารถกดเช็กเองได้ทันที
วิธีตรวจสอบว่า Chrome อัปเดตแล้วหรือยัง
ผู้ใช้สามารถอัปเดตได้เองภายในไม่กี่วินาที:
- เปิดเมนู Chrome
- ไปที่ Help > About Google Chrome
- รอให้ Chrome ดาวน์โหลดแพตช์
- กดปุ่ม Relaunch เพื่อรีสตาร์ทเบราว์เซอร์
แม้ Chrome จะอัปเดตอัตโนมัติ แต่การเช็กด้วยตัวเองช่วยให้มั่นใจได้ว่าคุณปลอดภัยจากช่องโหว่ล่าสุดนี้ทันที
Google ยังไม่เปิดเผยรายละเอียดการโจมตี
ในขณะนี้ Google ยังไม่เผยรายละเอียดเชิงลึกของการโจมตีที่เกิดขึ้น เพราะต้องการรอให้ผู้ใช้ส่วนใหญ่ได้รับแพตช์แล้ว เพื่อไม่ให้คนร้ายใช้ข้อมูลดังกล่าวไปขยายผลโจมตีเพิ่มเติม
Google ระบุว่าอาจจำกัดข้อมูลไว้ก่อน หากช่องโหว่เกี่ยวข้องกับไลบรารีจากบุคคลที่สามที่ยังไม่ได้แก้ไข
Chrome Zero-day มากขึ้นเรื่อย ๆ ในปีนี้
ปี 2025 เป็นอีกปีที่ Chrome ถูกโจมตีอย่างหนัก โดยช่องโหว่ Zero-day ถูกแก้ไปแล้ว 7 ตัว ในช่วงต้นปีนี้เพียงปีเดียว
ก่อนหน้านี้ Google เคยอัปเดตแก้ Zero-day หลายครั้ง เช่น:
- ช่องโหว่ CVE-2025-10585 และ CVE-2025-6558 ในเดือนกรกฎาคมและกันยายน
- ช่องโหว่ CVE-2025-4664 ในเดือนพฤษภาคม ซึ่งเกี่ยวกับการยึดบัญชีผู้ใช้
- ช่องโหว่ CVE-2025-5419 และ CVE-2025-2783 ที่เกี่ยวข้องกับ V8 และการหลุดออกจาก Sandbox
ในปี 2024 เอง Google ก็แก้ Zero-day ไปแล้วถึง 10 รายการ ที่ถูกโชว์ในงาน Pwn2Own หรือถูกใช้โจมตีจริง
ตัวเลขเหล่านี้สะท้อนให้เห็นว่าผู้โจมตีมุ่งเป้าไปที่เบราว์เซอร์ของผู้ใช้ทั่วไปมากขึ้นเรื่อย ๆ โดยเฉพาะผ่าน JavaScript และเอนจินประมวลผลของ Chrome
ทำไมผู้ใช้ควรรีบอัปเดตทันที?
เนื่องจากช่องโหว่นี้ถูกใช้โจมตีจริงแล้ว การปล่อยให้อัปเดตค้างอยู่ถือเป็นความเสี่ยงอย่างมาก โดยเฉพาะผู้ที่:
- ใช้ Chrome ทำงานด้านเอกสารสำคัญ
- เข้าถึงข้อมูลบัญชีต่าง ๆ
- ใช้งานเว็บไซต์สถาบันการเงิน
- แอดมินหรือผู้ดูแลระบบเครือข่าย
การอัปเดต Chrome เพียงไม่กี่วินาทีสามารถลดความเสี่ยงเหล่านี้ได้ทันที
สรุป
ช่องโหว่ Zero-day ใหม่บน Chrome ถือเป็นปัญหารุนแรงที่เกิดขึ้นถี่ขึ้นทุกปี และครั้งนี้ถูกใช้โจมตีจริงแล้ว Google จึงแนะนำให้ผู้ใช้ทุกคนอัปเดตเวอร์ชันล่าสุดโดยด่วนเพื่อความปลอดภัยของข้อมูลส่วนตัว
ที่มา: bleepingcomputer
