11/69 (IT) ประจำวันพฤหัสบดีที่ 8 มกราคม 2569
Google ได้เผยแพร่อัปเดตความปลอดภัยของระบบปฏิบัติการ Android ประจำเดือนมกราคม 2026 เพื่อแก้ไขช่องโหว่ร้ายแรงในตัวถอดรหัสเสียง Dolby Digital Plus (Dolby DD+) ที่หมายเลข CVE-2025-54957 ซึ่งถูกจัดอยู่ในระดับ Critical โดยช่องโหว่ดังกล่าวถูกค้นพบโดยนักวิจัยจาก Google Project Zero ตั้งแต่เดือนตุลาคม 2025 และก่อนหน้านี้ Google ได้เริ่มปล่อยแพตช์แก้ไขให้กับอุปกรณ์ Pixel ไปแล้วในเดือนธันวาคม 2025 ก่อนขยายการแก้ไขไปยังอุปกรณ์ Android ทุกรุ่นผ่านอัปเดตล่าสุด
ช่องโหว่นี้เกิดขึ้นใน Dolby DD+ Unified Decoder (UDC) เวอร์ชัน 4.5 ถึง 4.13 ที่อาจทำให้เกิดการเขียนข้อมูลเกินขอบเขตหน่วยความจำ (out-of-bounds write) เมื่อประมวลผลไฟล์เสียง DD+ ที่ถูกสร้างขึ้นมาเป็นพิเศษ แม้ไฟล์ดังกล่าวจะอยู่ในรูปแบบที่ถูกต้องก็ตาม โดยปัญหามีสาเหตุมาจากการคำนวณความยาวของข้อมูลผิดพลาดจาก integer overflow ส่งผลให้มีการจัดสรรหน่วยความจำไม่เพียงพอ และทำให้กลไกตรวจสอบขอบเขตไม่สามารถทำงานได้อย่างมีประสิทธิภาพ ซึ่งอาจนำไปสู่การเขียนทับโครงสร้างข้อมูลสำคัญหรือ pointer ภายในหน่วยความจำ และเพิ่มความเสี่ยงหากถูกนำไปใช้ร่วมกับช่องโหว่อื่น ๆ บนอุปกรณ์ Android
นักวิจัยของ Google ระบุว่าในระบบ Android ช่องโหว่นี้เข้าข่ายเป็น “zero-click vulnerability” เนื่องจากระบบจะถอดรหัสไฟล์เสียงที่ได้รับโดยอัตโนมัติ เช่น ข้อความเสียงหรือไฟล์แนบ เพื่อการประมวลผลหรือถอดเสียง โดยไม่ต้องอาศัยการโต้ตอบจากผู้ใช้งาน ซึ่งทำให้ความเสี่ยงเพิ่มสูงขึ้น ทาง Google จึงแนะนำให้ผู้ใช้งานและผู้ดูแลระบบอัปเดตอุปกรณ์ Android เป็นเวอร์ชันล่าสุดโดยเร็ว เพื่อป้องกันการถูกโจมตีจากช่องโหว่ดังกล่าว
