สรุปสั้น

บริษัท Microsoft ได้เปิดเผยช่องโหว่ด้านความปลอดภัยตัวใหม่ในเว็บเบราว์เซอร์ Microsoft Edge ที่พัฒนาบนฐาน Chromium ซึ่งเปิดทางให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดที่เป็นอันตรายบนเครื่องเหยื่อได้ ช่องโหว่นี้ถูกกำหนดรหัสเป็น CVE-2026-57992 มีต้นตอจากปัญหาหน่วยความจำเสียหายแบบ Use-After-Free (UAF) และได้รับคะแนนความรุนแรง CVSS ที่ 7.5 อยู่ในระดับสูง (High) โดย ณ ขณะที่เผยแพร่ข่าวยังไม่มีแพตช์แก้ไขออกมา และยังไม่พบโค้ดสาธิตการโจมตี (PoC) เผยแพร่สู่สาธารณะ จุดที่น่าสังเกตคือช่องทางการโจมตีเป็นแบบผ่านเครือข่าย (network-based) และต้องอาศัยการโต้ตอบจากเหยื่อ ทำให้ผู้โจมตีไม่สามารถเจาะได้แบบเงียบ ๆ โดยไม่ให้เหยื่อทำอะไรเลย

ความซับซ้อนในการโจมตีถูกจัดอยู่ในระดับสูง (high attack complexity) เพราะผู้โจมตีต้องสร้างองค์ประกอบฟอร์มที่หลอกลวงหรือมองไม่เห็นบนหน้าเว็บอันตราย และต้องพึ่งพาให้เหยื่อแตะหน้าจอสองครั้งตามลำดับจนไปกระตุ้นฟังก์ชัน autofill ของ Edge ซึ่งเป็นตัวจุดชนวนกระบวนการทำลายหน่วยความจำ หากการโจมตีสำเร็จ ผู้โจมตีจะสามารถรันโค้ดใด ๆ ภายในบริบทของกระบวนการเบราว์เซอร์ ซึ่งอาจกลายเป็นจุดเริ่มต้นของการเคลื่อนตัวในเครือข่าย (lateral movement) การขโมยข้อมูล หรือการติดตั้งเพย์โหลดเพิ่มเติมได้

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 6 กรกฎาคม พ.ศ. 2569 ว่า Microsoft ได้เปิดเผยช่องโหว่ CVE-2026-57992 ในเบราว์เซอร์ Microsoft Edge เวอร์ชันที่พัฒนาบน Chromium ซึ่งจัดเป็นช่องโหว่ Use-After-Free ที่มีความร้ายแรง เปิดทางให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถรันโค้ดผ่านเครือข่ายได้ ด้วยการหลอกให้ผู้ใช้เข้าชมหน้าเว็บที่ถูกสร้างขึ้นมาเป็นพิเศษ

กลไก Use-After-Free เกิดขึ้นเมื่อโปรแกรมยังคงอ้างอิงไปยังพื้นที่หน่วยความจำที่ถูกปลดปล่อย (freed) ไปแล้ว ทำให้ผู้โจมตีสามารถควบคุมข้อมูลในพื้นที่นั้นและชักนำให้เกิดการรันโค้ดได้ ในกรณีของ CVE-2026-57992 การโจมตีจะเกิดขึ้นเมื่อผู้โจมตีโฮสต์เว็บไซต์ที่ออกแบบมาเป็นพิเศษเพื่อกระตุ้นเงื่อนไข UAF ในเอนจินการเรนเดอร์ของ Edge อย่างไรก็ตาม เนื่องจากผู้โจมตีไม่สามารถบังคับให้ผู้ใช้เข้าชมเนื้อหาอันตรายได้โดยตรง จึงมักต้องใช้เทคนิควิศวกรรมสังคม เช่น อีเมลฟิชชิง ข้อความโต้ตอบทันที หรือไฟล์แนบอันตราย เพื่อล่อเหยื่อไปยังหน้าเว็บที่ผู้โจมตีควบคุมไว้

เงื่อนไขที่ทำให้การโจมตีสำเร็จคือ เหยื่อต้องเข้าชมหน้าเว็บของผู้โจมตี และต้องแตะหน้าจอสองครั้งซึ่งเป็นการกระตุ้นกลไก autofill จนเกิดเงื่อนไข use-after-free ข้อกำหนดเรื่องการโต้ตอบนี้ช่วยลดความเสี่ยงในโลกจริงลงไปได้ระดับหนึ่ง เพราะการโจมตีไม่สามารถทำได้แบบ passive หรือโดยที่เหยื่อไม่มีส่วนร่วมเลย ทางด้านเวอร์ชันที่ได้รับผลกระทบ Microsoft ระบุถึง Edge เวอร์ชัน 150.0.4078.48 ที่ปล่อยออกมาเมื่อวันที่ 3 กรกฎาคม 2026 ซึ่งอิงกับ Chromium เวอร์ชัน 150.0.7871.47

รายละเอียดช่องโหว่

CVE-2026-57992 ถูกจัดประเภทเป็นช่องโหว่ Use-After-Free ที่ร้ายแรงในเอนจิน Chromium ของ Microsoft Edge ค่าเวกเตอร์การโจมตีเป็นแบบผ่านเครือข่าย ต้องการการโต้ตอบจากผู้ใช้ และมีความซับซ้อนในการโจมตีสูง คะแนน CVSS อยู่ที่ 7.5 (High)

การจะเจาะช่องโหว่นี้ให้สำเร็จ ผู้โจมตีต้องสร้างองค์ประกอบฟอร์มที่หลอกลวงหรือซ่อนไว้ไม่ให้มองเห็นบนหน้าเว็บอันตราย จากนั้นอาศัยให้เหยื่อทำท่าแตะสองครั้งตามลำดับ ซึ่งจะไปกระตุ้นฟังก์ชัน autofill ของ Edge โดยไม่ตั้งใจ และเป็นตัวเปิดใช้งานห่วงโซ่การทำลายหน่วยความจำ เมื่อกระบวนการนี้ถูกกระตุ้น เอนจินการเรนเดอร์จะเข้าถึงหน่วยความจำที่ถูกปลดปล่อยไปแล้ว เปิดโอกาสให้ผู้โจมตีเข้าควบคุมและรันโค้ดในบริบทของกระบวนการเบราว์เซอร์ ผลลัพธ์สุดท้ายอาจนำไปสู่การยึดครองระบบอย่างสมบูรณ์ ทั้งการเคลื่อนตัวในเครือข่าย การขโมยข้อมูล และการวางเพย์โหลดเพิ่มเติมตามเป้าหมายของผู้โจมตี

ผลกระทบต่อไทย

Microsoft Edge เป็นเบราว์เซอร์เริ่มต้นที่ติดตั้งมาพร้อมระบบปฏิบัติการ Windows จึงถูกใช้งานอย่างแพร่หลายทั้งในหน่วยงานราชการ องค์กรเอกชน สถาบันการศึกษา และผู้ใช้ทั่วไปในประเทศไทย การที่ช่องโหว่นี้ยังไม่มีแพตช์อย่างเป็นทางการในขณะที่รายละเอียดกลไกการโจมตีถูกเปิดเผยแล้ว ทำให้มีความเสี่ยงที่ผู้ไม่หวังดีอาจพัฒนาเครื่องมือโจมตีขึ้นมาก่อนที่การอัปเดตจะถึงมือผู้ใช้ องค์กรที่พึ่งพา Edge เป็นเบราว์เซอร์หลัก โดยเฉพาะที่เปิดใช้ฟังก์ชัน autofill สำหรับกรอกข้อมูลอัตโนมัติ ควรตระหนักว่าพนักงานที่หลงคลิกลิงก์ฟิชชิงและทำท่าแตะจอตามที่ผู้โจมตีวางกับดักไว้ อาจกลายเป็นช่องทางให้เครื่องถูกยึดและลุกลามเข้าสู่เครือข่ายภายในองค์กรได้

คำแนะนำ

เนื่องจากยังไม่มีแพตช์อย่างเป็นทางการในขณะนี้ องค์กรและผู้ใช้ควรเฝ้าติดตามประกาศจาก Microsoft Security Response Center (MSRC) อย่างใกล้ชิดเพื่อรับการอัปเดตทันทีที่ออก ควรให้ความรู้แก่ผู้ใช้ให้ระมัดระวังลิงก์และไฟล์แนบที่น่าสงสัย เปิดใช้งานคุณสมบัติความปลอดภัยของเบราว์เซอร์ เช่น Enhanced Security Mode เท่าที่ทำได้ และพิจารณาจำกัดหรือปิดฟังก์ชัน autofill ในสภาพแวดล้อมองค์กรเป็นมาตรการชั่วคราวเพื่อลดพื้นผิวการโจมตี รวมถึงเมื่อแพตช์ออกแล้วให้เร่งอัปเดต Edge เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

แหล่งอ้างอิง