สรุปสั้น

บริษัท Google ปล่อยอัปเดตฉุกเฉินเพื่อแก้ zero-day อีกตัวของ Chrome ที่ถูกโจมตีจริงในวงกว้าง ติดตามด้วยรหัส CVE-2026-11645 ซึ่งเป็น zero-day ตัวที่ 5 ของ Chrome ที่ได้รับการแก้ตั้งแต่ต้นปี 2569 บริษัท Google ระบุใน security advisory ว่าทราบว่ามี exploit สำหรับช่องโหว่นี้อยู่ในธรรมชาติแล้ว แต่ยังไม่เปิดเผยรายละเอียดของการโจมตี เพื่อให้ผู้ใช้ส่วนใหญ่อัปเดตได้ทันก่อน

ช่องโหว่ระดับ high-severity นี้เกิดจาก out-of-bounds read และ write weakness ใน Chrome V8 JavaScript engine ที่ผู้โจมตีระยะไกลสามารถ exploit ผ่าน HTML page ที่จัดทำพิเศษเพื่อรันโค้ดใด ๆ ภายใน sandbox ของเบราว์เซอร์ การ exploit สำเร็จยังเปิดทางเข้าถึงข้อมูลที่อยู่นอก memory buffer ผ่าน heap corruption รั่วข้อมูลที่อ่อนไหวหรือทำให้ crash นอกจากนั้นยังใช้ bypass กลไก ASLR ทำให้การเชื่อมต่อกับช่องโหว่อื่นเพื่อ code execution ง่ายขึ้น บริษัท Google ปล่อยเวอร์ชัน 149.0.7827.102 บน Windows/Linux และ 149.0.7827.103 บน Mac โดยทยอยเผยแพร่ทั่วโลกผ่าน Stable Desktop channel หลังนักวิจัยอิสระแจ้งให้ทราบเมื่อ 2 สัปดาห์ก่อน

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 9 มิถุนายน พ.ศ. 2569 ว่าบริษัท Google ปล่อย emergency update แก้ Chrome zero-day CVE-2026-11645 ที่กำลังถูก exploit จริง โดยอ้างคำกล่าวจากบริษัทว่า “Google ทราบว่ามี exploit สำหรับ CVE-2026-11645 อยู่ในธรรมชาติ” ขณะเดียวกัน Google ยังไม่เปิดเผยรายละเอียดของ incident ที่เกิดขึ้น

แม้บริษัทจะบอกว่าการ rollout อาจใช้เวลาเป็นวันหรือสัปดาห์กว่าจะถึงผู้ใช้ทั้งหมด แต่ BleepingComputer ตรวจสอบแล้วพบว่าอัปเดตพร้อมใช้ทันทีตอนเช็กในวันเดียวกัน ผู้ที่ไม่ต้องการอัปเดตด้วยตัวเองสามารถพึ่ง Chrome ที่จะตรวจอัปเดตและติดตั้งให้เองในการเปิดครั้งถัดไป

ก่อนหน้านี้บริษัท Google ได้แก้ zero-day ของ Chrome อีก 4 ตัวที่ถูกโจมตีจริงตั้งแต่ต้นปี 2569 ได้แก่ CVE-2026-2441 (iterator invalidation ใน CSSFontFeatureValuesMap) ที่แก้กลางกุมภาพันธ์, CVE-2026-3909 และ CVE-2026-3910 ที่แก้ในเดือนมีนาคม (out-of-bounds write ใน Skia 2D และ inappropriate implementation ใน V8/WebAssembly engine) และ CVE-2026-5281 ซึ่งเป็น use-after-free ใน Dawn (cross-platform WebGPU implementation) ที่แก้ในเดือนเมษายน ปีที่แล้ว Google แก้ Chrome zero-day ที่ถูกโจมตีจริงรวม 8 ตัว หลายตัวรายงานโดย Threat Analysis Group (TAG) ที่ขึ้นชื่อเรื่องการตรวจจับ exploit ของ spyware

Google Chrome fifth zero-day CVE-2026-11645 exploited in the wild V8 engine

รายละเอียดช่องโหว่

CVE-2026-11645 เป็น out-of-bounds read และ write weakness ใน V8 JavaScript engine ของ Chrome ผู้โจมตีระยะไกลสามารถ exploit ผ่าน crafted HTML page เพื่อรันโค้ดใด ๆ ภายใน sandbox ของเบราว์เซอร์ การ exploit สำเร็จเปิดทางเข้าถึงข้อมูลนอก memory buffer ผ่าน heap corruption ซึ่งอาจเปิดเผยข้อมูลอ่อนไหวหรือทำให้เกิด crash

ผลข้างเคียงสำคัญที่ทำให้ช่องโหว่นี้อันตรายเป็นพิเศษคือ สามารถใช้ bypass กลไกป้องกันอย่าง ASLR (Address Space Layout Randomization) ได้ ซึ่งทำให้การผูก exploit chain เพื่อรันโค้ดผ่าน weakness อื่นง่ายขึ้นมาก ในรูปแบบของ drive-by attack แค่หลอกให้เหยื่อเปิดหน้าเว็บที่จงใจสร้างขึ้นก็เพียงพอ ไม่ต้องคลิกอะไรเพิ่ม

บริษัท Google ระบุว่า “การเข้าถึงรายละเอียดบั๊กและลิงก์อาจถูกจำกัดไว้จนกว่าผู้ใช้ส่วนใหญ่จะอัปเดตแพตช์แล้ว” และยังจำกัดข้อมูลต่อไปหากบั๊กอยู่ในไลบรารีของ third party ที่โปรเจกต์อื่นพึ่งพาแต่ยังไม่ได้แก้

ผลกระทบต่อไทย

ผู้ใช้งาน Chrome ในไทยทั้งระดับองค์กรและบุคคลทั่วไปได้รับผลกระทบโดยตรง เพราะ Chrome เป็นเบราว์เซอร์ที่มีส่วนแบ่งสูงสุดในไทย ทั้งบนเดสก์ท็อปและบนเบราว์เซอร์ Chromium-based อื่น (Edge, Brave, Opera, Vivaldi) ที่อาจได้รับผลกระทบจากบั๊กของ V8 เช่นกัน เนื่องจากเป็น zero-day ที่ exploit ได้แค่ผ่านการเปิดหน้าเว็บ ทำให้ภัยกระจายได้ผ่าน drive-by download, malvertising หรือ phishing link

หน่วยงานราชการและองค์กรไทยที่บังคับให้พนักงานใช้ Chrome เป็นเบราว์เซอร์หลัก หรือใช้ Chrome embedded ใน application enterprise เสี่ยงต่อ supply chain attack หากผู้โจมตีหลอกพนักงานเปิดหน้าเว็บที่จงใจสร้างขึ้นได้สำเร็จ ก็เปิดทางขโมยข้อมูล credential จาก browser-stored password, cookie หรือยกระดับเป็น code execution ใน sandbox ก่อนหา escape vector ต่อไป

คำแนะนำ

อัปเดต Chrome ไปยังเวอร์ชัน 149.0.7827.102 บน Windows และ Linux หรือ 149.0.7827.103 บน Mac ทันทีโดยเปิด chrome://settings/help หรือเปิดเบราว์เซอร์ใหม่เพื่อให้ auto-update ทำงาน ระบบ enterprise ที่ใช้ Chrome browser cloud management ให้ฝ่าย IT ผลัก policy update version requirement ไปยังเครื่องที่บริหารทันที

ผู้ที่ใช้เบราว์เซอร์ Chromium-based อื่น (Edge, Brave, Opera, Vivaldi) ให้รออัปเดต upstream ที่จะรวม V8 patch แล้วอัปเดตทันทีที่พร้อม สำหรับองค์กรที่ใช้ kiosk หรือ shared workstation ที่อัปเดตช้า พิจารณาบังคับให้รีสตาร์ทเบราว์เซอร์ทุกวันเพื่อให้ patch มีผล

เพิ่มชั้นป้องกัน drive-by attack ด้วย DNS filtering, web filtering ที่บล็อก domain ที่เพิ่งจดทะเบียน หรือใช้ browser isolation สำหรับการเข้า URL ที่ไม่น่าเชื่อถือ และพิจารณาตั้ง browser policy ให้ปิด JIT ใน V8 (–js-flags=–jitless) สำหรับ profile ที่ใช้เปิดลิงก์จากอีเมลซึ่งเป็น mitigation เชิงลึกที่ลด attack surface ของ V8 ลงได้

แหล่งอ้างอิง