Google ได้ออกการอัปเดตความปลอดภัยสำหรับ Chrome
เพื่อแก้ไขช่องโหว่ครึ่งโหล โดยหนึ่งในนั้นถูกผู้โจมตีใช้ประโยชน์อยู่แล้วเพื่อหลบเลี่ยงการป้องกันแซนด์บ็อกซ์ของเบราว์เซอร์
ช่องโหว่นี้ระบุในชื่อ CVE-2025-6558 และได้รับคะแนนความรุนแรงสูงที่ 8.8 ถูกค้นพบโดยนักวิจัยจาก Google's Threat Analysis Group (TAG) เมื่อวันที่ 23 มิถุนายน
ปัญหาด้านความปลอดภัยนี้อธิบายว่าเป็นการตรวจสอบอินพุตที่ไม่น่าเชื่อถือไม่เพียงพอใน ANGLE และ GPU ซึ่งส่งผลกระทบต่อ Google Chrome เวอร์ชันก่อน 138.0.7204.157 ผู้โจมตีที่ใช้ประโยชน์ได้สำเร็จอาจหลบหนีแซนด์บ็อกซ์ได้โดยใช้หน้า HTML ที่สร้างขึ้นเป็นพิเศษ
ANGLE (Almost Native Graphics Layer Engine) เป็นเลเยอร์นามธรรมกราฟิกโอเพนซอร์สที่ Chrome ใช้เพื่อแปลการเรียกใช้ API ของ OpenGL ES ไปยัง Direct3D, Metal, Vulkan และ OpenGL
เนื่องจาก ANGLE ประมวลผลคำสั่ง GPU จากแหล่งที่ไม่น่าเชื่อถือ เช่น เว็บไซต์ที่ใช้ WebGL ข้อบกพร่องในส่วนประกอบนี้อาจมีผลกระทบด้านความปลอดภัยที่สำคัญ
ช่องโหว่นี้อนุญาตให้ผู้โจมตีจากระยะไกลที่ใช้หน้า HTML ที่สร้างขึ้นเป็นพิเศษสามารถรันโค้ดตามอำเภอใจภายในกระบวนการ GPU ของเบราว์เซอร์ได้ Google ยังไม่ได้ให้รายละเอียดทางเทคนิคเกี่ยวกับวิธีที่การกระตุ้นปัญหานี้อาจนำไปสู่การหลบหนีแซนด์บ็อกซ์ของเบราว์เซอร์
"การเข้าถึงรายละเอียดข้อบกพร่องและลิงก์อาจถูกจำกัดไว้จนกว่าผู้ใช้ส่วนใหญ่จะได้รับการอัปเดตด้วยการแก้ไข" Google ระบุในประกาศด้านความปลอดภัย
"เราจะยังคงจำกัดไว้หากข้อบกพร่องมีอยู่ในไลบรารีของบุคคลที่สามที่โปรเจ็กต์อื่น ๆ พึ่งพาเช่นกัน แต่ยังไม่ได้แก้ไข"
ส่วนประกอบแซนด์บ็อกซ์ของ Chrome เป็นกลไกความปลอดภัยหลักที่แยกกระบวนการของเบราว์เซอร์ออกจากระบบปฏิบัติการที่อยู่เบื้องหลัง ซึ่งจะช่วยป้องกันมัลแวร์จากการแพร่กระจายออกนอกเว็บเบราว์เซอร์เพื่อประนีประนอมอุปกรณ์
เนื่องจากความเสี่ยงสูงและสถานะการถูกใช้ประโยชน์อย่างต่อเนื่องของ CVE-2025-6558 ผู้ใช้ Chrome จึงควรดำเนินการอัปเดตโดยเร็วที่สุดเป็นเวอร์ชัน 138.0.7204.157/.158 ขึ้นอยู่กับระบบปฏิบัติการของตน
ที่มา
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2026 Blockdit
