ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ช่องโหว่ด้านความมั่นคงปลอดภัยเกี่ยวกับแพตช์แก้ไขช่องโหว่ 127 รายการใน Google Chrome 148 รวมถึงช่องโหว่ระดับวิกฤต (Critical) จำนวน 3 รายการ ที่อาจเปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดโดยไม่ได้รับอนุญาต หรือทำให้ระบบไม่สามารถให้บริการได้ตามปกติ
1. รายละเอียด [1]
Google ออกอัปเดตความปลอดภัยสำหรับ Google Chrome เวอร์ชัน 148 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยรวมทั้งสิ้น 127 รายการ ประกอบด้วยช่องโหว่ระดับ Critical จำนวน 3 รายการ ระดับ High จำนวน 31 รายการ ระดับ Medium จำนวน 66 รายการ และระดับ Low จำนวน 27 รายการ ช่องโหว่ส่วนใหญ่เกี่ยวข้องกับปัญหาการจัดการหน่วยความจำผิดพลาด เช่น Use-After-Free, Out-of-Bounds Read/Write และ Memory Corruption ในคอมโพเนนต์สำคัญของ Chrome ได้แก่ Blink Rendering Engine, V8 JavaScript Engine, ANGLE, GPU, SVG, DOM, WebRTC, Skia และ Chromoting ซึ่งอาจถูกใช้เพื่อทำให้เบราว์เซอร์หยุดทำงาน เข้าถึงหน่วยความจำโดยไม่ได้รับอนุญาต หรือรันโค้ดที่เป็นอันตรายบนระบบของผู้ใช้งานได้
2. ข้อมูลช่องโหว่ระดับวิกฤต (Critical)
2.1 CVE-2026-7896 (CVSS 3.1: 8.8 ) ช่องโหว่นี้เกิดจากการจัดการค่าจำนวนเต็ม (Integer Handling) ที่ผิดพลาดภายใน Blink Rendering Engine ส่งผลให้ผู้โจมตีสามารถทำให้เกิด Heap Memory Corruption ผ่านหน้าเว็บ HTML ที่ถูกสร้างขึ้นเป็นพิเศษได้ โดยการโจมตีมีความซับซ้อนต่ำและอาจเกิดขึ้นได้ทันทีเมื่อผู้ใช้งานเปิดเว็บไซต์อันตราย [2]
2.2 CVE-2026-7897 (CVSS 3.1: 7.5 ) ช่องโหว่นี้เป็นประเภท Use-After-Free ในคอมโพเนนต์ Mobile ของ Chrome ซึ่งเกิดจากการอ้างอิงหน่วยความจำที่ถูกคืนค่า (Freed Memory) ไปแล้ว ส่งผลให้ผู้โจมตีสามารถเข้าถึงหน่วยความจำโดยไม่ได้รับอนุญาต หรืออาจใช้เพื่อทำให้เกิดการทำงานผิดปกติของเบราว์เซอร์ รวมถึงอาจนำไปสู่การรันโค้ดจากระยะไกลภายใต้เงื่อนไขบางประการได้ [3]
2.3 CVE-2026-7898 (CVSS 3.1: 8.8 ) ช่องโหว่นี้เป็น Use-After-Free ในคอมโพเนนต์ Chromoting หรือ Chrome Remote Desktop โดยเกิดจากการจัดการออบเจกต์ในหน่วยความจำไม่ถูกต้อง ผู้โจมตีอาจใช้ช่องโหว่นี้เพื่อทำให้เกิด Memory Corruption และอาจยกระดับไปสู่การรันโค้ดจากระยะไกลได้ หากสามารถควบคุมเงื่อนไขการทำงานของระบบเป้าหมายได้สำเร็จ [4]
3. ผลิตภัณฑ์ที่ได้รับผลกระทบ
3.1 Google Chrome บน Windows เวอร์ชันต่ำกว่า 148.0.7778.96/97
3.2 Google Chrome บน macOS เวอร์ชันต่ำกว่า 148.0.7778.96/97
3.3 Google Chrome บน Linux เวอร์ชันต่ำกว่า 148.0.7778.96
3.4 Google Chrome บน Android เวอร์ชันต่ำกว่า 148.0.7778.120
3.5 เบราว์เซอร์ที่ใช้ Chromium เป็นฐาน เช่น Microsoft Edge, Brave, Opera และ Vivaldi ที่ยังไม่ได้รับการอัปเดตจากผู้ผลิต
4. แนวทางการแก้ไข
4.1 ตรวจสอบเวอร์ชันของ Google Chrome ที่ใช้งานผ่าน chrome://settings/help
4.2 อัปเดต Chrome เป็นเวอร์ชัน 148 โดยคลิกเมนู “⋮” > Help > About Google Chrome แล้วรอให้ดาวน์โหลดเสร็จ จากนั้นคลิก “Relaunch”
4.3 สำหรับ Android ให้อัปเดตผ่าน Google Play Store และสำหรับ iOS ให้อัปเดตผ่าน App Store
4.4 สำหรับองค์กรที่ใช้ Chrome Enterprise ให้บังคับอัปเดตผ่าน Google Admin Console หรือ Group Policy
4.5 ติดตามและอัปเดตเบราว์เซอร์ที่ใช้ Chromium เป็นฐานจากผู้ผลิตแต่ละราย
ในกรณีที่ยังไม่สามารถอัปเดตได้ทันที ควรดำเนินมาตรการชั่วคราวเพื่อลดความเสี่ยง (Workaround) ดังนี้
– ปิดการใช้งาน Chrome Remote Desktop (Chromoting) หากไม่จำเป็น เพื่อลดความเสี่ยงจากช่องโหว่
– หลีกเลี่ยงการเปิดลิงก์หรือไฟล์ HTML จากแหล่งที่ไม่น่าเชื่อถือ
– เปิดใช้งาน Enhanced Safe Browsing ผ่าน Settings > Privacy and security > Safe Browsing
5. คำแนะนำด้านความปลอดภัยเพิ่มเติม
5.1 กำหนดนโยบาย Patch Management ให้อัปเดตเบราว์เซอร์ภายใน 72 ชั่วโมงหลังประกาศแพตช์ระดับ Critical
5.2 ติดตามรายการ Endpoint ที่ยังใช้ Chrome เวอร์ชันเก่าผ่าน Asset Management Tool และจัดลำดับความสำคัญของการอัปเดต
5.3 เปิดใช้งาน Endpoint Detection and Response (EDR) เพื่อตรวจจับพฤติกรรมผิดปกติที่อาจเกิดจากการโจมตีช่องโหว่เบราว์เซอร์
5.4 จำกัดการติดตั้ง Extension ที่ไม่ได้รับการอนุมัติจากองค์กร เพื่อลดพื้นที่การโจมตีใน Browser
แหล่งอ้างอิง