Google ประกาศเมื่อวันที่ 9 กันยายน การปรับปรุงความปลอดภัย สำหรับ Chrome ที่แก้ไข ช่องโหว่ที่เกี่ยวข้องสองประการ:อันหนึ่งจัดอยู่ในกลุ่มวิกฤต และอีกอันจัดอยู่ในกลุ่มความรุนแรงสูง บริษัทแนะนำให้ติดตั้งแพตช์โดยเร็วที่สุดเพื่อลดความเสี่ยงจากการถูกโจมตี โดยเฉพาะอย่างยิ่งบนอุปกรณ์ทั่วไป
ข้อบกพร่องทั้งสองประการได้รับการรายงานผ่านโปรแกรมรางวัลของ Google ในเดือนสิงหาคม และตอนนี้ก็มีตัวระบุอย่างเป็นทางการแล้ว CVE-2025-10200 (การวิจารณ์) และ CVE-2025-10201 (สูง) แม้ว่าผลกระทบจะแตกต่างกัน แต่ทั้งสองอย่างก็เปิดโอกาสให้เกิดสถานการณ์การโจมตีที่ควรได้รับการแก้ไขด้วย อัพเดททันที.
อัปเดตด่วนใน Chrome
ความล้มเหลวที่สำคัญบันทึกไว้เป็น CVE-2025-10200เป็นข้อผิดพลาดการใช้งานหลังจากปลดปล่อยในคอมโพเนนต์ ServiceWorker พูดง่ายๆ ก็คือเบราว์เซอร์พยายามใช้ ความทรงจำได้รับการปลดปล่อยแล้วบางสิ่งบางอย่างที่สามารถทำให้เกิดการเสียหายของข้อมูลหรือทำให้ การใช้รหัสโดยอำเภอใจ หากนำไปรวมกับเทคนิคอื่น
ผู้โจมตีสามารถสร้างเว็บไซต์ที่เป็นอันตรายได้ เพื่อให้โค้ดสามารถรันบนระบบของเหยื่อได้เมื่อเข้าชมด้วย Chrome เวกเตอร์นี้อิงจาก เนื้อหาเว็บที่ออกแบบมาเป็นพิเศษทำให้ช่องโหว่เป็นสิ่งสำคัญที่ต้องแก้ไขสำหรับผู้ใช้และองค์กร
ความล้มเหลวครั้งที่สอง: ความรุนแรงสูงใน Mojo
จุดอ่อนประการที่สอง CVE-2025-10201ถูกอธิบายว่าเป็นการใช้งานที่ไม่เหมาะสมใน Mojo ซึ่งเป็นชุดไลบรารีที่ Chromium ใช้สำหรับการสื่อสารระหว่างกระบวนการ ความเสี่ยงหลักคือผู้โจมตีอาจ ทำให้แซนด์บ็อกซ์อ่อนแอลงหรือเสียหาย ของเบราว์เซอร์ ซึ่งเป็นส่วนประกอบสำคัญที่แยกกระบวนการเพื่อจำกัดขอบเขตของการโจมตี
แม้ว่าจะยังไม่มีการเปิดเผยรายละเอียดเกี่ยวกับผลกระทบในทางปฏิบัติทั้งหมดต่อสาธารณะ แต่ข้อบกพร่องเหล่านี้ใน Mojo สามารถเอื้อให้เกิดการโจมตีที่ซับซ้อนมากขึ้นได้ ดังนั้น ขอแนะนำให้ติดตั้งแพตช์โดยไม่ชักช้าและ ตรวจสอบเวอร์ชันที่ติดตั้ง ในทุกทีม
เวอร์ชันที่แก้ไขและวิธีการอัปเดต
Google ได้เผยแพร่เวอร์ชันที่แก้ไขข้อบกพร่องทั้งสองสำหรับ Windows, macOS และ Linux แล้ว หากเบราว์เซอร์ของคุณไม่ได้อัปเดตอัตโนมัติ คุณควรอัปเดต ตรวจสอบและอัปเดตด้วยตนเอง:
- Windows: 140.0.7339.127 / .128
- MacOS: 140.0.7339.132 / .133
- ลินุกซ์: 140.0.7339.127
ขั้นตอนการบังคับอัปเดตใน Chrome (เดสก์ท็อป): เมนู > ความช่วยเหลือ > ข้อมูล Google Chromeเบราว์เซอร์จะตรวจสอบรุ่นล่าสุดที่มีอยู่ และจะเริ่มดาวน์โหลดหากมี
- เปิดเมนูสามจุดที่ด้านขวาบน
- ไปที่ความช่วยเหลือ
- เลือกเกี่ยวกับ Google Chrome
- รอการดาวน์โหลดแล้วกด รีบูต ถ้าได้รับการร้องขอ
กระบวนการนี้โดยปกติจะใช้เวลา เพียงไม่กี่วินาทีหลังจากรีบูตแล้ว ตรวจสอบว่าหมายเลขเวอร์ชันตรงกับรุ่นที่แก้ไขเพื่อให้แน่ใจว่าแพตช์ถูกนำไปใช้อย่างถูกต้อง
เบราว์เซอร์อื่นๆ ที่ใช้ Chromium
เนื่องจากความผิดพลาดอยู่ในส่วนประกอบของ โครเมียมเบราว์เซอร์เช่น Microsoft Edge, Brave, Opera หรือ Vivaldi อาจได้รับผลกระทบได้เช่นกัน โดยปกติแล้วนักพัฒนาจะออกแพตช์ ใน 24-48 ชั่วโมง ตั้งแต่โพสต์ของ Google แต่ควรตรวจสอบด้วยตนเองจะดีกว่า
หากคุณใช้เบราว์เซอร์เหล่านี้ ให้ไปที่เมนูการตั้งค่าและบังคับให้ตรวจสอบการอัปเดต การอัปเดตให้ทันสมัยอยู่เสมอจะช่วยลดพื้นที่การโจมตีและป้องกันได้อย่างมาก ปัญหาความปลอดภัยที่ไม่จำเป็น.
รางวัลและลำดับเวลาของการค้นพบ
รายงานความล้มเหลวที่สำคัญมาจาก ลูเบน หยาง เมื่อวันที่ 22 สิงหาคม Google มอบรางวัล 43.000 ดอลลาร์สหรัฐฯ ช่องโหว่ที่มีความรุนแรงสูงได้รับการรายงานโดย ซาฮาน เฟอร์นันโด พร้อมด้วยนักวิจัยที่ไม่เปิดเผยชื่อ พร้อมรางวัล 30.000 เหรียญสหรัฐ
แถลงการณ์สาธารณะของ Google เผยแพร่เมื่อวันที่ 9 กันยายน พร้อมรายละเอียดว่าขณะนี้มีการแก้ไขแล้ว วิธีการอย่างเป็นทางการในการแก้ไขคือผ่านตัวอัปเดต Chrome หรือ เว็บไซต์กูเกิล; หลีกเลี่ยงแหล่งข้อมูลจากบุคคลที่สาม
คำถามด่วน
มันส่งผลต่อเวอร์ชันมือถือของ Chrome หรือไม่?
ตามข้อมูลที่ให้ไว้ ขอบเขตของการแก้ไขเหล่านี้มุ่งเน้นไปที่ Windows, macOS และ Linux เดสก์ท็อป ไม่มีผลกระทบต่ออุปกรณ์พกพา
ฉันจะเสี่ยงอะไรบ้างหากไม่อัปเดต?
คุณสามารถเปิดเผยตัวเองต่อการดำเนินการโค้ดหรือ การทำลายความโดดเดี่ยว ของเบราว์เซอร์ นอกเหนือจากประสิทธิภาพที่ลดลงและความเป็นส่วนตัวที่ถูกละเมิด
ฉันต้องอัปเดตส่วนขยายด้วยหรือไม่?
พวกมันไม่เกี่ยวข้องกับ CVE ทั้งสองนี้ แต่ขอแนะนำให้เก็บไว้ อัปเดตอยู่เสมอ เพื่อป้องกันเวกเตอร์โจมตีเพิ่มเติม
ตอนนี้กุญแจสำคัญนั้นง่ายมาก: ให้เบราว์เซอร์ที่ใช้ Chrome และ Chromium เป็นเวอร์ชันที่แก้ไข ตรวจสอบรุ่นที่ติดตั้ง และใช้เฉพาะ แหล่งข้อมูลอย่างเป็นทางการเมื่อใช้แพตช์แล้ว ความเสี่ยงที่เกี่ยวข้องกับ CVE-2025-10200 และ CVE-2025-10201 จะลดลงบนระบบ Windows, macOS และ Linux
