Google ได้ออกแพตช์ฉุกเฉินสำหรับช่องโหว่ Zero-Day ระดับความรุนแรงสูงใน Chrome (CVE-2026-2441) และยืนยันว่ามีการใช้ประโยชน์จากช่องโหว่นี้จริงในวงกว้าง ช่องโหว่ดังกล่าวเป็นข้อผิดพลาดแบบ use-after-free ในการจัดการ CSS ของเบราว์เซอร์ ซึ่งถูกรายงานเมื่อห้าวันก่อน (11 กุมภาพันธ์ 2026) และมีการกระตุ้นให้ผู้ใช้ทำการอัปเดตโดยทันที.
Severity: สูง
System Impact:
- Google Chrome (เวอร์ชันก่อนหน้าแพตช์)
- Windows
- macOS
- Linux
Technical Attack Steps:
- ผู้โจมตีใช้ประโยชน์จากช่องโหว่ CVE-2026-2441 ซึ่งเป็นข้อผิดพลาดแบบ use-after-free ในการจัดการ CSS ของ Chrome
- ข้อบกพร่องนี้ส่งผลให้เกิดความเสียหายในหน่วยความจำ
- ผู้โจมตีสามารถเรียกใช้โค้ดที่กำหนดเองได้ผ่านเนื้อหาเว็บที่เป็นอันตราย
- การโจมตีอาจถูกเชื่อมโยงกับช่องโหว่อื่น ๆ เพื่อหลบหนี Sandbox และยกระดับสิทธิ์บนระบบปฏิบัติการเป้าหมาย
Recommendations:
Short Term:
- อัปเดต Google Chrome ทันทีเป็นเวอร์ชันที่ได้รับแพตช์: Windows (145.0.7632.75/.76), macOS (145.0.7632.75/.76), Linux (144.0.7559.75)
- ให้ความสำคัญกับการติดตั้งแพตช์ Chrome ในทุกระบบ
- สแกนหาร่องรอยการบุกรุก (Indicators of Compromise – IOCs) เช่น การรับส่งข้อมูลเครือข่ายที่ผิดปกติไปยังโดเมนของ Google
- ระมัดระวังการโจมตีแบบฟิชชิ่งหรือเว็บไซต์ที่ถูกบุกรุกที่อาจใช้ช่องโหว่นี้
Long Term:
- ติดตามแคตตาล็อกช่องโหว่ที่ถูกใช้ประโยชน์แล้วของ CISA (Known Exploited Vulnerabilities catalog) สำหรับคำแนะนำจากรัฐบาลกลาง
- อ้างอิงบันทึกการเผยแพร่ Chrome (Chrome release log) และหน้าความปลอดภัย Chromium (Chromium security page) สำหรับการอัปเดตต่อเนื่อง
Source: https://cybersecuritynews.com/chrome-0-day-vulnerability-exploited-wild-2/
Share this content: