CVE-2026-11645 ភាពងាយរងគ្រោះរបស់ Chrome

ក្រុមហ៊ុន Google បានចេញផ្សាយការអាប់ដេតសុវត្ថិភាពបន្ទាន់ ដើម្បីដោះស្រាយភាពងាយរងគ្រោះ zero-day មួយផ្សេងទៀតដែលត្រូវបានកេងប្រវ័ញ្ចយ៉ាងសកម្មនៅក្នុងកម្មវិធីរុករក Chrome។ កំហុសឆ្គងនេះ ដែលត្រូវបានតាមដានថាជា CVE-2026-11645 គឺជាកំហុសឆ្គងទីប្រាំរបស់ Chrome ដែលត្រូវបានជួសជុលដោយក្រុមហ៊ុនចាប់តាំងពីដើមឆ្នាំ 2026។

យោងតាម Google ភស្តុតាងបញ្ជាក់ថា ការកេងប្រវ័ញ្ចដែលកំណត់គោលដៅចំណុចខ្សោយនេះកំពុងត្រូវបានប្រើប្រាស់រួចហើយនៅក្នុងការវាយប្រហារក្នុងពិភពពិត។ បញ្ហានេះត្រូវបានរាយការណ៍ដោយអនាមិកទៅកាន់ក្រុមហ៊ុន ហើយការជួសជុលមួយត្រូវបានដាក់ពង្រាយជាបន្តបន្ទាប់តាមរយៈឆានែល Stable Desktop។

កំណែ​ដែល​បាន​ជួសជុល​កំពុង​ត្រូវ​បាន​ដាក់​ឲ្យ​ប្រើប្រាស់​ជា​សកល​សម្រាប់ Windows (149.0.7827.102), macOS (149.0.7827.103) និង Linux (149.0.7827.102)។ ទោះជាយ៉ាងណាក៏ដោយ ដំណើរការធ្វើបច្ចុប្បន្នភាពអាចចំណាយពេលច្រើនថ្ងៃ ឬច្រើនសប្តាហ៍ មុនពេលទៅដល់អ្នកប្រើប្រាស់ Chrome ទាំងអស់។

សម្រាប់អ្នកដែលមិនដំឡើងការអាប់ដេតដោយដៃ Chrome ត្រូវបានរចនាឡើងដើម្បីពិនិត្យ និងអនុវត្តការជួសជុលសុវត្ថិភាពដែលមានដោយស្វ័យប្រវត្តិក្នុងអំឡុងពេលបើកដំណើរការកម្មវិធីរុករកតាមអ៊ីនធឺណិតលើកក្រោយ។

នៅខាងក្នុង CVE-2026-11645: កំហុសម៉ាស៊ីន V8 ដ៏គ្រោះថ្នាក់មួយ

ចំណុចខ្សោយធ្ងន់ធ្ងរនេះមានប្រភពមកពីចំណុចខ្សោយនៃការអាន និងសរសេរក្រៅព្រំដែននៅក្នុងម៉ាស៊ីន V8 JavaScript របស់ Chrome។ អ្នកវាយប្រហារអាចទាញយកប្រយោជន៍ពីចំណុចខ្សោយនេះតាមរយៈទំព័រ HTML ដែលបង្កើតឡើងជាពិសេស ដែលអាចធ្វើឱ្យមានការប្រតិបត្តិកូដដោយបំពាននៅក្នុងបរិស្ថាន sandbox របស់កម្មវិធីរុករក។

ការកេងប្រវ័ញ្ចដោយជោគជ័យអាចបណ្តាលឱ្យមានការខូចខាតដល់ heap ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារចូលប្រើអង្គចងចាំនៅខាងក្រៅព្រំដែនដែលបានគ្រោងទុក។ ឥរិយាបថនេះអាចបង្ហាញព័ត៌មានរសើប បណ្តាលឱ្យកម្មវិធីរុករកគាំង ឬសម្រួលដល់សកម្មភាពព្យាបាទបន្ថែម។

ក្រៅពីការចូលប្រើអង្គចងចាំដោយគ្មានការអនុញ្ញាត ភាពងាយរងគ្រោះនេះក៏អាចត្រូវបានប្រើប្រាស់ដើម្បីរំលងការការពារសុវត្ថិភាពដូចជា Address Space Layout Randomization (ASLR) ដែលបង្កើនលទ្ធភាពនៃការសម្រេចបាននូវការប្រតិបត្តិកូដនៅពេលផ្សំជាមួយចំណុចខ្សោយផ្សេងទៀត។

ការបង្ហាញព័ត៌មានមានកំណត់ដើម្បីការពារអ្នកប្រើប្រាស់

ទោះបីជា Google បានទទួលស្គាល់ការកេងប្រវ័ញ្ចយ៉ាងសកម្មនៃចំណុចខ្សោយនេះក៏ដោយ ក្រុមហ៊ុនមិនទាន់បានបង្ហាញព័ត៌មានលម្អិតបច្ចេកទេសទាក់ទងនឹងការវាយប្រហារនេះនៅឡើយទេ។ ការចូលប្រើព័ត៌មានអំពីកំហុស និងធនធានពាក់ព័ន្ធអាចនៅតែត្រូវបានរឹតត្បិតរហូតដល់អ្នកប្រើប្រាស់ Chrome មួយផ្នែកធំបានដំឡើងការអាប់ដេតសុវត្ថិភាព។

ការរឹតបន្តឹងក៏អាចបន្តផងដែរ ប្រសិនបើកូដដែលរងផលប៉ះពាល់មាននៅក្នុងបណ្ណាល័យភាគីទីបី ដែលត្រូវបានប្រើប្រាស់ដោយគម្រោងផ្សេងទៀត ហើយមិនទាន់បានអនុវត្តការជួសជុលផ្ទាល់ខ្លួនរបស់ពួកគេនៅឡើយទេ។

បញ្ជីនៃការគំរាមកំហែង Zero-Day ដែលកំពុងកើនឡើងនៅឆ្នាំ 2026

CVE-2026-11645 ចូលរួមជាមួយ Chrome zero-days ជាច្រើនទៀតដែលត្រូវបានគេកេងប្រវ័ញ្ចយ៉ាងសកម្មនៅឆ្នាំនេះ៖

• CVE-2026-2441 – ចំណុចខ្សោយនៃការធ្វើឱ្យមិនត្រឹមត្រូវនៃ iterator នៅក្នុង CSSFontFeatureValuesMap ដែលត្រូវបានជួសជុលនៅក្នុងខែកុម្ភៈ។

ការប្រយុទ្ធជាបន្តបន្ទាប់របស់ Chrome ប្រឆាំងនឹងការកេងប្រវ័ញ្ច Zero-Day

ការអាប់ដេតបន្ទាន់ចុងក្រោយបំផុតបានបង្ហាញពីភាពគំរាមកំហែងជាប់លាប់ដែលបង្កឡើងដោយភាពងាយរងគ្រោះនៃថ្ងៃសូន្យដែលកំណត់គោលដៅកម្មវិធីរុករកតាមអ៊ីនធឺណិតទំនើប។ ពេញមួយឆ្នាំ ២០២៥ Google បានដោះស្រាយបញ្ហាថ្ងៃសូន្យចំនួនប្រាំបីបន្ថែមទៀតរបស់ Chrome ដែលត្រូវបានគេកេងប្រវ័ញ្ចនៅក្នុងធម្មជាតិ។ ភាពងាយរងគ្រោះជាច្រើនក្នុងចំណោមភាពងាយរងគ្រោះទាំងនោះត្រូវបានកំណត់ដោយក្រុមវិភាគការគំរាមកំហែង (TAG) របស់ Google ដែលជាក្រុមជំនាញមួយដែលត្រូវបានគេស្គាល់ថាសម្រាប់ការតាមដានប្រតិបត្តិការចារកម្មតាមអ៊ីនធឺណិតដ៏ស្មុគស្មាញ និងយុទ្ធនាការចារកម្ម។

ការរកឃើញជាបន្តបន្ទាប់នៃចំណុចខ្វះខាតដែលត្រូវបានកេងប្រវ័ញ្ចយ៉ាងសកម្ម គូសបញ្ជាក់ពីសារៈសំខាន់នៃការអាប់ដេតកម្មវិធីរុករកទាន់ពេលវេលា និងការជួសជុលភាពងាយរងគ្រោះយ៉ាងឆាប់រហ័ស ក្នុងការការពារអ្នកប្រើប្រាស់ពីការគំរាមកំហែងតាមអ៊ីនធឺណិតដែលកំពុងវិវត្ត។