ช่องโหว่ CVE-2026-11645 ใน Chrome

Google ได้ออกอัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day ที่ถูกโจมตีอย่างแพร่หลายอีกช่องหนึ่งในเบราว์เซอร์ Chrome ช่องโหว่นี้มีรหัส CVE-2026-11645 และนับเป็นช่องโหว่ Zero-day ช่องที่ห้าที่ Google ได้แก้ไขไปแล้วนับตั้งแต่ต้นปี 2026

จากข้อมูลของ Google หลักฐานยืนยันว่ามีการใช้ช่องโหว่นี้ในการโจมตีจริงแล้ว ปัญหาดังกล่าวได้รับการรายงานไปยังบริษัทโดยไม่ระบุชื่อ และต่อมาได้มีการแก้ไขผ่านช่องทาง Stable Desktop แล้ว

ขณะนี้กำลังทยอยปล่อยเวอร์ชันแก้ไขข้อบกพร่องทั่วโลกสำหรับ Windows (149.0.7827.102), macOS (149.0.7827.103) และ Linux (149.0.7827.102) อย่างไรก็ตาม กระบวนการอัปเดตอาจใช้เวลาหลายวันหรือหลายสัปดาห์กว่าจะถึงผู้ใช้ Chrome ทุกคน

สำหรับผู้ที่ไม่ได้ติดตั้งการอัปเดตด้วยตนเอง Chrome จะตรวจสอบและติดตั้งการแก้ไขด้านความปลอดภัยที่มีอยู่โดยอัตโนมัติในครั้งถัดไปที่เปิดเบราว์เซอร์

ภายใน CVE-2026-11645: ช่องโหว่อันตรายในเครื่องยนต์ V8

ช่องโหว่ร้ายแรงนี้เกิดจากจุดอ่อนด้านการอ่านและเขียนข้อมูลนอกขอบเขตภายในเอนจิน JavaScript V8 ของ Chrome ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ผ่านหน้า HTML ที่สร้างขึ้นเป็นพิเศษ ซึ่งอาจทำให้สามารถเรียกใช้โค้ดตามอำเภอใจภายในสภาพแวดล้อมแซนด์บ็อกซ์ของเบราว์เซอร์ได้

การโจมตีที่ประสบความสำเร็จอาจส่งผลให้เกิดความเสียหายต่อหน่วยความจำหลัก (heap corruption) ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงหน่วยความจำนอกเหนือขอบเขตที่ตั้งใจไว้ได้ พฤติกรรมนี้อาจทำให้ข้อมูลสำคัญรั่วไหล ทำให้เบราว์เซอร์หยุดทำงาน หรืออำนวยความสะดวกในการกระทำที่เป็นอันตรายอื่นๆ เพิ่มเติม

นอกเหนือจากการเข้าถึงหน่วยความจำโดยไม่ได้รับอนุญาตแล้ว ช่องโหว่นี้ยังสามารถถูกใช้เพื่อหลีกเลี่ยงการป้องกันความปลอดภัย เช่น การสุ่มตำแหน่งหน่วยความจำ (Address Space Layout Randomization: ASLR) ซึ่งจะเพิ่มโอกาสในการเรียกใช้โค้ดเมื่อรวมกับจุดอ่อนอื่นๆ

การเปิดเผยข้อมูลอย่างจำกัดเพื่อปกป้องผู้ใช้

แม้ว่า Google จะยอมรับว่ามีการโจมตีโดยใช้ช่องโหว่นี้จริง แต่บริษัทยังไม่ได้เปิดเผยรายละเอียดทางเทคนิคเกี่ยวกับการโจมตีดังกล่าว การเข้าถึงข้อมูลเกี่ยวกับข้อบกพร่องและแหล่งข้อมูลที่เกี่ยวข้องอาจยังคงถูกจำกัดจนกว่าผู้ใช้ Chrome จำนวนมากจะติดตั้งการอัปเดตความปลอดภัยแล้ว

ข้อจำกัดอาจยังคงมีอยู่ต่อไปหากโค้ดที่ได้รับผลกระทบนั้นอยู่ในไลบรารีของบุคคลที่สามซึ่งถูกนำไปใช้โดยโครงการอื่น ๆ และยังไม่ได้ดำเนินการแก้ไขปัญหาในส่วนของตนเอง

รายชื่อภัยคุกคาม Zero-Day ที่เพิ่มขึ้นเรื่อยๆ ในปี 2026

CVE-2026-11645 เป็นช่องโหว่ Zero-day ของ Chrome อีกช่องหนึ่งที่ถูกใช้ประโยชน์อย่างแพร่หลายในปีนี้:

• CVE-2026-2441 – ช่องโหว่การทำให้ตัววนซ้ำไม่ถูกต้องใน CSSFontFeatureValuesMap ซึ่งได้รับการแก้ไขในเดือนกุมภาพันธ์

• CVE-2026-3909 – ช่องโหว่การเขียนข้อมูลเกินขอบเขตในไลบรารีกราฟิก 2 มิติ Skia ซึ่งถูกใช้ประโยชน์ในเดือนมีนาคม

• CVE-2026-3910 – ช่องโหว่การใช้งานที่ไม่เหมาะสมซึ่งส่งผลกระทบต่อเอนจิน JavaScript และ WebAssembly ของ V8 ซึ่งเคยถูกโจมตีมาแล้วในเดือนมีนาคม

• CVE-2026-5281 – ช่องโหว่การใช้งานหน่วยความจำหลังจากถูกปล่อย (use-after-free) ใน Dawn ซึ่งเป็นการใช้งาน WebGPU ข้ามแพลตฟอร์มของ Chromium ได้รับการแก้ไขแล้วในเดือนเมษายน

การต่อสู้ที่ต่อเนื่องของ Chrome กับช่องโหว่ Zero-Day

การอัปเดตฉุกเฉินล่าสุดเน้นย้ำถึงภัยคุกคามที่ต่อเนื่องจากช่องโหว่ Zero-day ที่มุ่งเป้าไปที่เว็บเบราว์เซอร์สมัยใหม่ ตลอดปี 2025 Google ได้แก้ไขช่องโหว่ Zero-day ของ Chrome เพิ่มเติมอีก 8 รายการที่ถูกใช้ประโยชน์ในวงกว้าง ช่องโหว่เหล่านั้นหลายรายการถูกระบุโดยกลุ่มวิเคราะห์ภัยคุกคามของ Google (TAG) ซึ่งเป็นทีมผู้เชี่ยวชาญที่รู้จักกันดีในการติดตามปฏิบัติการจารกรรมทางไซเบอร์ที่ซับซ้อนและแคมเปญสปายแวร์

การค้นพบช่องโหว่ที่ถูกนำไปใช้ประโยชน์อย่างต่อเนื่องเน้นย้ำถึงความสำคัญของการอัปเดตเบราว์เซอร์อย่างทันท่วงทีและการแก้ไขช่องโหว่อย่างรวดเร็วเพื่อปกป้องผู้ใช้จากภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงไป