494/68 (IT) ประจำวันพฤหัสบดีที่ 27 พฤศจิกายน 2568
นักวิจัยจากบริษัทด้านความปลอดภัยจาก AISLE เปิดเผยช่องโหว่รหัส CVE-2025-13016 ซึ่งเป็นข้อบกพร่องร้ายแรงในระบบ WebAssembly (Wasm) ของเว็บเบราว์เซอร์ Firefox ที่ไม่ถูกตรวจพบนานกว่า 6 เดือน โดยช่องโหว่นี้เกิดจากข้อผิดพลาดเพียงบรรทัดเดียวบนโค้ดของระบบ Garbage Collection (GC) ที่ทำให้เกิด Stack Buffer Overflow เปิดทางให้ผู้โจมตีสามารถเขียนทับหน่วยความจำและอาจสั่งรันโค้ดอันตรายบนเครื่องของเหยื่อจากระยะไกล โดยคาดว่าอาจมีผู้ที่ได้รับผลกระทบมากกว่า 180 ล้านราย
ข้อผิดพลาดดังกล่าวเกิดจากการคำนวณ Memory Pointers ที่ผิดพลาดทำให้ระบบคัดลอกข้อมูลเกินขนาดลงในหน่วยความจำชั่วคราวส่งผลให้ข้อมูลสำคัญภายในระบบถูกเขียนทับ ซึ่งเป็นพฤติกรรมที่มีความเสี่ยงสูง เพราะสามารถนำไปสู่การเข้าควบคุมลำดับการทำงานของโปรแกรมได้ ช่องโหว่นี้ถูกเพิ่มเข้าใน Firefox ตั้งแต่เดือนเมษายน 2025 ส่งผลกระทบต่อ Firefox เวอร์ชัน 143 ถึง 145 และ Firefox ESR เวอร์ชันก่อน 140.5
AISLE พบช่องโหว่เมื่อวันที่ 2 ตุลาคม 2025 และรายงานให้ Mozilla ทราบทันที ก่อนที่ทีมความปลอดภัยของ Mozilla จะตรวจสอบและออกแพตช์แก้ไขอย่างรวดเร็วเมื่อวันที่ 11 พฤศจิกายน 2025 ช่องโหว่ดังกล่าวส่งผลกระทบต่อทุกแพลตฟอร์ม (Windows, macOS, Linux, และ Android) แนะนำให้ผู้ใช้ Firefox อัปเดตเป็นเวอร์ชัน Firefox 145 หรือ Firefox ESR 140.5 ขึ้นไปทันทีเพื่อการป้องกันความเสี่ยงดังกล่าว
แหล่งข่าว https://hackread.com/update-firefox-patch-cve-2025-13016-vulnerability/
