244/68 (IT) ประจำวันศุกร์ที่ 4 กรกฎาคม 2568
Google ได้ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่หมายเลข CVE-2025-6554 ที่เป็นช่องโหว่ zero-day ที่พบว่ามีการใช้งานจริง (exploit in the wild) โดยช่องโหว่นี้เกิดขึ้นใน V8 JavaScript และ WebAssembly engine ของ Chrome เป็นช่องโหว่ประเภท type confusion ที่อาจทำให้ผู้โจมตีสามารถอ่าน/เขียนข้อมูลในหน่วยความจำโดยไม่ได้รับอนุญาตผ่านหน้า HTML ที่ออกแบบมาเฉพาะ และอาจนำไปสู่การรันโค้ดอันตรายจากระยะไกล จากประกาศของ NIST ช่องโหว่เกิดจากข้อผิดพลาดแบบ type confusion ซึ่งทำให้ผู้โจมตีสามารถสั่งอ่านหรือเขียนข้อมูลในหน่วยความจำโดยไม่ได้รับอนุญาต ผ่านหน้า HTML ที่ออกแบบเฉพาะเพื่อเจาะระบบ
ช่องโหว่นี้นับเป็น zero-day รายการที่ 4 ที่ Google แก้ไขในปี 2025 โดยก่อนหน้านี้มีการอัปเดตเพื่อปิดช่องโหว่สำคัญอื่น ๆ ได้แก่
– CVE-2025-5419: ช่องโหว่ out-of-bounds read/write บน V8 ที่ถูกใช้โจมตี
– CVE-2025-4664: ช่องโหว่ที่อาจนำไปสู่การยึดบัญชีผู้ใช้ทั้งหมด
– CVE-2025-2783: ช่องโหว่ incorrect handle ใน Mojo บน Windows ที่ถูกใช้โจมตีเป้าหมายในรัสเซีย
ผู้ใช้ควรอัปเดต Google Chrome ให้เป็นเวอร์ชันล่าสุด (138.0.7204.x) ทั้งบน Windows, macOS และ Linux ทันที เพื่อปิดช่องทางการโจมตีดังกล่าว และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่อาจขยายวงกว้าง
