Google ได้ออกอัปเดตความปลอดภัยที่สำคัญสำหรับ Chrome Stable channel เพื่อแก้ไขช่องโหว่ความรุนแรงสูงสองรายการที่อาจทำให้ผู้ใช้งานเผชิญกับการรันโค้ดอันตราย (Arbitrary Code Execution – ACE) และการโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service – DoS)
Severity: สูง
System Impact:
- Google Chrome (Stable channel)
- Windows
- macOS
- Linux
Technical Attack Steps:
- ผู้โจมตีหลอกให้ผู้ใช้งานเข้าชมเว็บไซต์ที่ถูกสร้างขึ้นมาเป็นพิเศษ
- **CVE-2026-1862 (Type Confusion ใน V8):** เว็บไซต์ที่เป็นอันตรายจะใช้ประโยชน์จากช่องโหว่ Type Confusion ในเอนจิน V8 JavaScript ของ Chrome ทำให้เอนจินเข้าใจผิดในการเข้าถึงหน่วยความจำด้วยประเภทที่ไม่เข้ากัน ซึ่งนำไปสู่การจัดการหน่วยความจำนอกขอบเขตและอาจรันโค้ดอันตรายได้
- **CVE-2026-1861 (Heap Buffer Overflow ใน libvpx):** ผู้โจมตีสามารถฝังสตรีมวิดีโอที่เสียหายลงในหน้าเว็บได้ เมื่อ Chrome ประมวลผลวิดีโอนี้โดยใช้ไลบรารี `libvpx` จะทำให้เกิด Heap Buffer Overflow ที่อาจทำให้หน่วยความจำเสียหาย ซึ่งโดยทั่วไปจะนำไปสู่เบราว์เซอร์ล่ม (DoS) หรือสามารถใช้ร่วมกับการโจมตีอื่นๆ เพื่อรันโค้ดอันตรายได้
Recommendations:
Short Term:
- อัปเดต Google Chrome ทันทีเป็นเวอร์ชัน 144.0.7559.132/.133 สำหรับ Windows และ macOS หรือ 144.0.7559.132 สำหรับ Linux
- ตรวจสอบว่าได้อัปเดตแล้ว โดยไปที่ Menu > Help > About Google Chrome และรีสตาร์ทเบราว์เซอร์
Long Term:
- หมั่นอัปเดตซอฟต์แวร์และเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอเพื่อป้องกันช่องโหว่ที่ค้นพบใหม่
- ฝึกฝนพฤติกรรมการท่องเว็บที่ปลอดภัย เช่น หลีกเลี่ยงการคลิกลิงก์ที่ไม่รู้จักหรือไม่น่าเชื่อถือ และระมัดระวังเมื่อเข้าชมเว็บไซต์ที่ไม่คุ้นเคย
Source: https://cybersecuritynews.com/chrome-vulnerabilities-arbitrary-code-2/
Share this content: