“Google Chrome อัปเดตด่วน! แก้ 3 ช่องโหว่ร้ายแรงใน V8 — หนึ่งในนั้นอาจทำให้ข้อมูลรั่วโดยไม่ต้องคลิกอะไรเลย”
Google ได้ปล่อยอัปเดตเวอร์ชันใหม่ของ Chrome สำหรับ Windows, macOS และ Linux (140.0.7339.207/.208) เพื่อแก้ไขช่องโหว่ร้ายแรง 3 รายการใน V8 ซึ่งเป็นเอนจิน JavaScript ที่ขับเคลื่อนเว็บแอปทั่วโลก โดยช่องโหว่เหล่านี้ถูกค้นพบทั้งจากนักวิจัยอิสระและระบบ AI ของ Google เอง
ช่องโหว่แรกคือ CVE-2025-10890 ซึ่งเป็นการรั่วไหลข้อมูลแบบ side-channel — หมายถึงการที่ผู้โจมตีสามารถสังเกตพฤติกรรมเล็ก ๆ ของระบบ เช่น เวลาในการประมวลผล หรือการเปลี่ยนแปลงเล็กน้อยในหน่วยความจำ เพื่อสกัดข้อมูลลับ เช่น session ID หรือคีย์เข้ารหัส โดยไม่ต้องเจาะระบบโดยตรง
ช่องโหว่ที่สองและสาม (CVE-2025-10891 และ CVE-2025-10892) เป็นช่องโหว่แบบ integer overflow ซึ่งเกิดจากการคำนวณที่เกินขนาดหน่วยความจำ ทำให้สามารถเปลี่ยนโครงสร้างหน่วยความจำและอาจนำไปสู่การรันโค้ดอันตรายได้ ช่องโหว่เหล่านี้ถูกค้นพบโดยระบบ AI ที่ชื่อว่า Big Sleep ซึ่งพัฒนาโดย DeepMind และทีม Project Zero ของ Google
การค้นพบโดย AI แสดงให้เห็นถึงความก้าวหน้าของการใช้ระบบอัตโนมัติในการตรวจสอบช่องโหว่ โดยเฉพาะในเอนจินที่ซับซ้อนอย่าง V8 ซึ่งมีบทบาทสำคัญในเบราว์เซอร์และแอปพลิเคชันจำนวนมหาศาล
ข้อมูลสำคัญจากข่าว
Google Chrome อัปเดตเวอร์ชัน 140.0.7339.207/.208 เพื่อแก้ 3 ช่องโหว่ร้ายแรงใน V8
CVE-2025-10890 เป็นช่องโหว่แบบ side-channel ที่อาจทำให้ข้อมูลลับรั่ว
CVE-2025-10891 และ CVE-2025-10892 เป็นช่องโหว่แบบ integer overflow
ช่องโหว่ถูกค้นพบโดยนักวิจัยอิสระและระบบ AI “Big Sleep” ของ Google
การโจมตีแบบ side-channel สามารถขโมยข้อมูลโดยไม่ต้องเจาะระบบโดยตรง
ช่องโหว่แบบ overflow อาจนำไปสู่การรันโค้ดอันตรายในหน่วยความจำ
ผู้ใช้ควรอัปเดต Chrome ทันทีเพื่อป้องกันการถูกโจมตี
ข้อมูลเสริมจากภายนอก
V8 เป็นเอนจิน JavaScript ที่ใช้ใน Chrome, Edge, Brave และเบราว์เซอร์อื่น ๆ ที่ใช้ Chromium
Side-channel attack เคยถูกใช้ในการขโมยคีย์เข้ารหัสจาก CPU โดยไม่ต้องเข้าถึงระบบโดยตรง
Integer overflow เป็นช่องโหว่ที่พบได้บ่อยในระบบที่จัดการหน่วยความจำแบบ low-level
AI อย่าง Big Sleep ใช้เทคนิค fuzzing และ symbolic execution เพื่อค้นหาช่องโหว่
การอัปเดต Chrome สามารถทำได้โดยไปที่ Settings > About Chrome แล้วรีสตาร์ตเบราว์เซอร์
https://securityonline.info/google-chrome-patches-three-high-severity-flaws-in-v8-engine/
Google ได้ปล่อยอัปเดตเวอร์ชันใหม่ของ Chrome สำหรับ Windows, macOS และ Linux (140.0.7339.207/.208) เพื่อแก้ไขช่องโหว่ร้ายแรง 3 รายการใน V8 ซึ่งเป็นเอนจิน JavaScript ที่ขับเคลื่อนเว็บแอปทั่วโลก โดยช่องโหว่เหล่านี้ถูกค้นพบทั้งจากนักวิจัยอิสระและระบบ AI ของ Google เอง
ช่องโหว่แรกคือ CVE-2025-10890 ซึ่งเป็นการรั่วไหลข้อมูลแบบ side-channel — หมายถึงการที่ผู้โจมตีสามารถสังเกตพฤติกรรมเล็ก ๆ ของระบบ เช่น เวลาในการประมวลผล หรือการเปลี่ยนแปลงเล็กน้อยในหน่วยความจำ เพื่อสกัดข้อมูลลับ เช่น session ID หรือคีย์เข้ารหัส โดยไม่ต้องเจาะระบบโดยตรง
ช่องโหว่ที่สองและสาม (CVE-2025-10891 และ CVE-2025-10892) เป็นช่องโหว่แบบ integer overflow ซึ่งเกิดจากการคำนวณที่เกินขนาดหน่วยความจำ ทำให้สามารถเปลี่ยนโครงสร้างหน่วยความจำและอาจนำไปสู่การรันโค้ดอันตรายได้ ช่องโหว่เหล่านี้ถูกค้นพบโดยระบบ AI ที่ชื่อว่า Big Sleep ซึ่งพัฒนาโดย DeepMind และทีม Project Zero ของ Google
การค้นพบโดย AI แสดงให้เห็นถึงความก้าวหน้าของการใช้ระบบอัตโนมัติในการตรวจสอบช่องโหว่ โดยเฉพาะในเอนจินที่ซับซ้อนอย่าง V8 ซึ่งมีบทบาทสำคัญในเบราว์เซอร์และแอปพลิเคชันจำนวนมหาศาล
ข้อมูลสำคัญจากข่าว
Google Chrome อัปเดตเวอร์ชัน 140.0.7339.207/.208 เพื่อแก้ 3 ช่องโหว่ร้ายแรงใน V8
CVE-2025-10890 เป็นช่องโหว่แบบ side-channel ที่อาจทำให้ข้อมูลลับรั่ว
CVE-2025-10891 และ CVE-2025-10892 เป็นช่องโหว่แบบ integer overflow
ช่องโหว่ถูกค้นพบโดยนักวิจัยอิสระและระบบ AI “Big Sleep” ของ Google
การโจมตีแบบ side-channel สามารถขโมยข้อมูลโดยไม่ต้องเจาะระบบโดยตรง
ช่องโหว่แบบ overflow อาจนำไปสู่การรันโค้ดอันตรายในหน่วยความจำ
ผู้ใช้ควรอัปเดต Chrome ทันทีเพื่อป้องกันการถูกโจมตี
ข้อมูลเสริมจากภายนอก
V8 เป็นเอนจิน JavaScript ที่ใช้ใน Chrome, Edge, Brave และเบราว์เซอร์อื่น ๆ ที่ใช้ Chromium
Side-channel attack เคยถูกใช้ในการขโมยคีย์เข้ารหัสจาก CPU โดยไม่ต้องเข้าถึงระบบโดยตรง
Integer overflow เป็นช่องโหว่ที่พบได้บ่อยในระบบที่จัดการหน่วยความจำแบบ low-level
AI อย่าง Big Sleep ใช้เทคนิค fuzzing และ symbolic execution เพื่อค้นหาช่องโหว่
การอัปเดต Chrome สามารถทำได้โดยไปที่ Settings > About Chrome แล้วรีสตาร์ตเบราว์เซอร์
https://securityonline.info/google-chrome-patches-three-high-severity-flaws-in-v8-engine/
🛡️ “Google Chrome อัปเดตด่วน! แก้ 3 ช่องโหว่ร้ายแรงใน V8 — หนึ่งในนั้นอาจทำให้ข้อมูลรั่วโดยไม่ต้องคลิกอะไรเลย”
Google ได้ปล่อยอัปเดตเวอร์ชันใหม่ของ Chrome สำหรับ Windows, macOS และ Linux (140.0.7339.207/.208) เพื่อแก้ไขช่องโหว่ร้ายแรง 3 รายการใน V8 ซึ่งเป็นเอนจิน JavaScript ที่ขับเคลื่อนเว็บแอปทั่วโลก โดยช่องโหว่เหล่านี้ถูกค้นพบทั้งจากนักวิจัยอิสระและระบบ AI ของ Google เอง
ช่องโหว่แรกคือ CVE-2025-10890 ซึ่งเป็นการรั่วไหลข้อมูลแบบ side-channel — หมายถึงการที่ผู้โจมตีสามารถสังเกตพฤติกรรมเล็ก ๆ ของระบบ เช่น เวลาในการประมวลผล หรือการเปลี่ยนแปลงเล็กน้อยในหน่วยความจำ เพื่อสกัดข้อมูลลับ เช่น session ID หรือคีย์เข้ารหัส โดยไม่ต้องเจาะระบบโดยตรง
ช่องโหว่ที่สองและสาม (CVE-2025-10891 และ CVE-2025-10892) เป็นช่องโหว่แบบ integer overflow ซึ่งเกิดจากการคำนวณที่เกินขนาดหน่วยความจำ ทำให้สามารถเปลี่ยนโครงสร้างหน่วยความจำและอาจนำไปสู่การรันโค้ดอันตรายได้ ช่องโหว่เหล่านี้ถูกค้นพบโดยระบบ AI ที่ชื่อว่า Big Sleep ซึ่งพัฒนาโดย DeepMind และทีม Project Zero ของ Google
การค้นพบโดย AI แสดงให้เห็นถึงความก้าวหน้าของการใช้ระบบอัตโนมัติในการตรวจสอบช่องโหว่ โดยเฉพาะในเอนจินที่ซับซ้อนอย่าง V8 ซึ่งมีบทบาทสำคัญในเบราว์เซอร์และแอปพลิเคชันจำนวนมหาศาล
✅ ข้อมูลสำคัญจากข่าว
➡️ Google Chrome อัปเดตเวอร์ชัน 140.0.7339.207/.208 เพื่อแก้ 3 ช่องโหว่ร้ายแรงใน V8
➡️ CVE-2025-10890 เป็นช่องโหว่แบบ side-channel ที่อาจทำให้ข้อมูลลับรั่ว
➡️ CVE-2025-10891 และ CVE-2025-10892 เป็นช่องโหว่แบบ integer overflow
➡️ ช่องโหว่ถูกค้นพบโดยนักวิจัยอิสระและระบบ AI “Big Sleep” ของ Google
➡️ การโจมตีแบบ side-channel สามารถขโมยข้อมูลโดยไม่ต้องเจาะระบบโดยตรง
➡️ ช่องโหว่แบบ overflow อาจนำไปสู่การรันโค้ดอันตรายในหน่วยความจำ
➡️ ผู้ใช้ควรอัปเดต Chrome ทันทีเพื่อป้องกันการถูกโจมตี
✅ ข้อมูลเสริมจากภายนอก
➡️ V8 เป็นเอนจิน JavaScript ที่ใช้ใน Chrome, Edge, Brave และเบราว์เซอร์อื่น ๆ ที่ใช้ Chromium
➡️ Side-channel attack เคยถูกใช้ในการขโมยคีย์เข้ารหัสจาก CPU โดยไม่ต้องเข้าถึงระบบโดยตรง
➡️ Integer overflow เป็นช่องโหว่ที่พบได้บ่อยในระบบที่จัดการหน่วยความจำแบบ low-level
➡️ AI อย่าง Big Sleep ใช้เทคนิค fuzzing และ symbolic execution เพื่อค้นหาช่องโหว่
➡️ การอัปเดต Chrome สามารถทำได้โดยไปที่ Settings > About Chrome แล้วรีสตาร์ตเบราว์เซอร์
https://securityonline.info/google-chrome-patches-three-high-severity-flaws-in-v8-engine/
0 ความคิดเห็น
0 การแบ่งปัน
46 มุมมอง
0 รีวิว
English