เนื่องจากการโจมตีที่กำลังดำเนินการอยู่ Google ได้ออกการอัปเดตความปลอดภัยฉุกเฉินสำหรับ Chrome เพื่อแก้ไขช่องโหว่ที่สำคัญแบบ Zero-day ในกลไก V8 JavaScript ข้อบกพร่องที่มีความรุนแรงสูง ซึ่งมีการติดตามในชื่อ CVE-2025-13223 ช่วยให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดที่เป็นอันตรายได้โดยการหาประโยชน์จากความเสียหายของฮีปบนระบบที่ไม่ได้รับแพตช์
ค้นพบโดย Threat Analysis Group ของ Google ช่องโหว่ดังกล่าวส่งผลต่อเวอร์ชันเดสก์ท็อปของเบราว์เซอร์ทั้งใน Windows, macOS และ Linux Google กระตุ้นให้ผู้ใช้ 2 พันล้านรายติดตั้งเวอร์ชัน 142.0.7444.175 ทันทีเพื่อบรรเทาภัยคุกคาม
ภัยคุกคามแบบ Zero-Day
เพื่อยืนยันความรุนแรงของสถานการณ์ Google ยอมรับว่า “การใช้ประโยชน์จาก CVE-2025-13223 มีอยู่จริง” การรับเข้านี้ทำให้ CVE-2025-13223 อยู่ในหมวดหมู่อันตรายของช่องโหว่แบบ Zero-day ซึ่งหมายความว่าผู้คุกคามค้นพบและสร้างข้อบกพร่องให้เป็นอาวุธก่อนที่วิศวกรของ Google จะพัฒนาการป้องกันได้
ในทางเทคนิคแล้ว ปัญหาอยู่ภายในกลไก V8 JavaScript ซึ่งเป็นคอมโพเนนต์โอเพ่นซอร์สที่รับผิดชอบในการประมวลผลโค้ด JavaScript ใน Chrome และเบราว์เซอร์ที่ใช้ Chromium อื่นๆ
ตามฐานข้อมูลช่องโหว่แห่งชาติ (NIST) ระบุว่า”ประเภท Confusion ใน V8 ใน Google Chrome ก่อน 142.0.7444.175 อนุญาตให้ผู้โจมตีระยะไกลสามารถใช้ประโยชน์จากความเสียหายของฮีปผ่านหน้า HTML ที่จัดทำขึ้น”
โดยการปรับเปลี่ยนวิธีที่กลไกจัดการ ประเภทอ็อบเจ็กต์ ผู้โจมตีอาจทำให้หน่วยความจำเสียหายในฮีป ซึ่งอาจทำให้เบราว์เซอร์หยุดทำงาน หรือที่ร้ายแรงกว่านั้นคือการเรียกใช้โค้ดนอกแซนด์บ็อกซ์ความปลอดภัยของเบราว์เซอร์
การค้นพบและการป้องกัน AI
เครดิตสำหรับการระบุ Zero-day ที่ใช้งานอยู่จะตกเป็นของ Threat Analysis Group (TAG) ของ Google ซึ่งเป็นทีมผู้เชี่ยวชาญที่ติดตามการแฮ็กที่ได้รับการสนับสนุนจากรัฐบาลและการดำเนินการของอาชญากรรมทางไซเบอร์ที่ร้ายแรง รายงานเมื่อวันที่ 12 พฤศจิกายนกระตุ้นให้เกิดการพัฒนาอย่างรวดเร็วของแพตช์ที่เปิดตัวในสัปดาห์นี้
นอกจากการแก้ไขซีโรเดย์แล้ว การอัปเดตยังระบุถึงช่องโหว่ที่มีความรุนแรงสูงครั้งที่สอง CVE-2025-13224 ข้อบกพร่องนี้ถูกพบเป็นการภายในโดย “Google Big Sleep” ซึ่งเป็นโครงการวิจัยช่องโหว่ที่ได้รับความช่วยเหลือจาก AI ซึ่งต่างจากข้อบกพร่องที่ถูกโจมตี
การค้นพบนี้ค้นพบเมื่อวันที่ 9 ตุลาคม การค้นพบนี้เน้นย้ำถึงประโยชน์ที่เพิ่มขึ้นของปัญญาประดิษฐ์ในการตรวจสอบความปลอดภัยล่วงหน้า แม้ว่านักวิเคราะห์ที่เป็นมนุษย์ที่ TAG ยังคงมีความสำคัญอย่างยิ่งในการระบุภัยคุกคามที่ทำงานอยู่ ระบบอัตโนมัติอย่าง Big Sleep กำลังกลายเป็นสิ่งจำเป็นสำหรับการระบุปัญหาด้านความปลอดภัยของหน่วยความจำที่ซับซ้อนก่อนที่ผู้โจมตีจะสามารถใช้ประโยชน์ได้
การเปิดตัวและการบรรเทาผลกระทบ
เพื่อจัดการกับความเสี่ยงเหล่านี้ ช่องทางที่เสถียรได้รับการอัปเดตเป็นเวอร์ชัน 142.0.7444.175/.176 สำหรับ Windows และ Mac และ 142.0.7444.175 สำหรับลินุกซ์ ผู้ใช้สามารถตรวจสอบการติดตั้งได้โดยไปที่เมนู”เกี่ยวกับ Google Chrome”ซึ่งจะตรวจสอบและดาวน์โหลดเวอร์ชันล่าสุดโดยอัตโนมัติ
โดยเน้นย้ำถึงความจำเป็นในการนำไปใช้อย่างแพร่หลายก่อนที่จะเปิดเผยอย่างเต็มรูปแบบ Google กล่าวว่า:
“การเข้าถึงรายละเอียดข้อบกพร่องและลิงก์อาจถูกจำกัดไว้จนกว่าผู้ใช้ส่วนใหญ่จะได้รับการอัปเดตด้วยการแก้ไข”
ในขณะที่การอัปเดตด้วยตนเองมักไม่จำเป็นสำหรับผู้บริโภคที่เปิดใช้งานการแพตช์อัตโนมัติ แต่การใช้ประโยชน์อย่างแข็งขันของ CVE-2025-13223 ทำการตรวจสอบด้วยความรอบคอบทันที ผู้ดูแลระบบระดับองค์กรควรจัดลำดับความสำคัญของการปรับใช้นี้ทั่วทั้งฟลีตที่ได้รับการจัดการ เนื่องจากกลไก V8 เป็นเป้าหมายทั่วไปสำหรับการโจมตีที่ซับซ้อน
สิ่งสำคัญที่สุดคือ การป้องกันจะทำงานหลังจากรีสตาร์ทเบราว์เซอร์แล้วเท่านั้น เพียงดาวน์โหลดการอัปเดตในเบื้องหลังก็ทำให้ช่องโหว่ถูกเปิดเผยในแท็บหรือหน้าต่างที่เปิดอยู่
