“Chrome 141 อุดช่องโหว่ร้ายแรง 3 จุด — เสี่ยงถูกแฮกผ่าน Sync, Storage และ WebCodecs”
Google ได้ปล่อยอัปเดต Chrome เวอร์ชัน 141.0.7390.65/.66 สำหรับ Windows และ macOS และ 141.0.7390.65 สำหรับ Linux โดยมีการแก้ไขช่องโหว่ความปลอดภัยสำคัญ 3 รายการที่อาจเปิดทางให้ผู้โจมตีเข้าถึงข้อมูลหรือรันโค้ดอันตรายผ่านการจัดการหน่วยความจำผิดพลาด
ช่องโหว่แรกคือ CVE-2025-11458 ซึ่งเป็นช่องโหว่ระดับสูงในฟีเจอร์ Sync ของ Chrome ที่ใช้ในการซิงก์ข้อมูลผู้ใช้ เช่น bookmarks, history และ settings ข้ามอุปกรณ์ โดยมีการเขียนข้อมูลเกินขอบเขตของหน่วยความจำ (heap buffer overflow) ซึ่งอาจนำไปสู่การรันโค้ดโดยไม่ได้รับอนุญาตหรือทำให้เบราว์เซอร์ล่ม
ช่องโหว่ที่สองคือ CVE-2025-11460 ซึ่งเป็นบั๊กแบบ use-after-free ในระบบ Storage ของ Chrome ที่จัดการฐานข้อมูลภายใน เช่น IndexedDB และ LocalStorage หากถูกโจมตีผ่านเว็บเพจที่ออกแบบมาเฉพาะ อาจทำให้เกิดการใช้หน่วยความจำที่ถูกปล่อยแล้ว ส่งผลให้ข้อมูลรั่วไหลหรือรันโค้ดอันตรายได้
ช่องโหว่สุดท้ายคือ CVE-2025-11211 ซึ่งเป็นช่องโหว่ระดับกลางใน WebCodecs API ที่ใช้สำหรับประมวลผลวิดีโอและเสียง โดยเกิดจากการอ่านข้อมูลนอกขอบเขตหน่วยความจำ (out-of-bounds read) ซึ่งอาจทำให้ข้อมูลในหน่วยความจำรั่วไหลหรือทำให้เบราว์เซอร์ไม่เสถียรระหว่างการเล่นไฟล์มีเดีย
Google แนะนำให้ผู้ใช้ทุกคนอัปเดต Chrome โดยเร็วที่สุด โดยสามารถเข้าไปที่ Settings → Help → About Google Chrome เพื่อเริ่มการอัปเดตและรีสตาร์ทเบราว์เซอร์ทันที
ข้อมูลสำคัญจากข่าว
Chrome 141 อัปเดตเพื่อแก้ไขช่องโหว่ความปลอดภัย 3 รายการ
CVE-2025-11458: heap buffer overflow ในฟีเจอร์ Sync
CVE-2025-11460: use-after-free ในระบบ Storage
CVE-2025-11211: out-of-bounds read ใน WebCodecs API
ช่องโหว่ใน Sync อาจนำไปสู่การรันโค้ดหรือทำให้เบราว์เซอร์ล่ม
ช่องโหว่ใน Storage อาจทำให้ข้อมูลรั่วไหลหรือถูกโจมตีผ่านเว็บเพจ
ช่องโหว่ใน WebCodecs อาจทำให้ข้อมูลในหน่วยความจำรั่วไหล
Chrome เวอร์ชันใหม่คือ 141.0.7390.65/.66 สำหรับ Windows/macOS และ .65 สำหรับ Linux
ผู้ใช้สามารถอัปเดตผ่าน Settings → Help → About Google Chrome
ข้อมูลเสริมจากภายนอก
ช่องโหว่ heap overflow และ use-after-free เป็นเป้าหมายหลักของการโจมตีเบราว์เซอร์
WebCodecs เป็น API ใหม่ที่ช่วยให้เว็บแอปจัดการวิดีโอได้มีประสิทธิภาพมากขึ้น
Chrome ใช้สถาปัตยกรรม multiprocess เพื่อจำกัดผลกระทบจากการโจมตี
Google มีโปรแกรมแจกรางวัลสำหรับผู้รายงานช่องโหว่ (VRP) สูงสุดถึง $5,000
ช่องโหว่ใน Storage อาจถูกใช้ร่วมกับเทคนิค sandbox escape เพื่อเข้าถึงระบบ
https://securityonline.info/chrome-141-stable-fixes-two-high-severity-flaws-heap-overflow-in-sync-and-uaf-in-storage/
Google ได้ปล่อยอัปเดต Chrome เวอร์ชัน 141.0.7390.65/.66 สำหรับ Windows และ macOS และ 141.0.7390.65 สำหรับ Linux โดยมีการแก้ไขช่องโหว่ความปลอดภัยสำคัญ 3 รายการที่อาจเปิดทางให้ผู้โจมตีเข้าถึงข้อมูลหรือรันโค้ดอันตรายผ่านการจัดการหน่วยความจำผิดพลาด
ช่องโหว่แรกคือ CVE-2025-11458 ซึ่งเป็นช่องโหว่ระดับสูงในฟีเจอร์ Sync ของ Chrome ที่ใช้ในการซิงก์ข้อมูลผู้ใช้ เช่น bookmarks, history และ settings ข้ามอุปกรณ์ โดยมีการเขียนข้อมูลเกินขอบเขตของหน่วยความจำ (heap buffer overflow) ซึ่งอาจนำไปสู่การรันโค้ดโดยไม่ได้รับอนุญาตหรือทำให้เบราว์เซอร์ล่ม
ช่องโหว่ที่สองคือ CVE-2025-11460 ซึ่งเป็นบั๊กแบบ use-after-free ในระบบ Storage ของ Chrome ที่จัดการฐานข้อมูลภายใน เช่น IndexedDB และ LocalStorage หากถูกโจมตีผ่านเว็บเพจที่ออกแบบมาเฉพาะ อาจทำให้เกิดการใช้หน่วยความจำที่ถูกปล่อยแล้ว ส่งผลให้ข้อมูลรั่วไหลหรือรันโค้ดอันตรายได้
ช่องโหว่สุดท้ายคือ CVE-2025-11211 ซึ่งเป็นช่องโหว่ระดับกลางใน WebCodecs API ที่ใช้สำหรับประมวลผลวิดีโอและเสียง โดยเกิดจากการอ่านข้อมูลนอกขอบเขตหน่วยความจำ (out-of-bounds read) ซึ่งอาจทำให้ข้อมูลในหน่วยความจำรั่วไหลหรือทำให้เบราว์เซอร์ไม่เสถียรระหว่างการเล่นไฟล์มีเดีย
Google แนะนำให้ผู้ใช้ทุกคนอัปเดต Chrome โดยเร็วที่สุด โดยสามารถเข้าไปที่ Settings → Help → About Google Chrome เพื่อเริ่มการอัปเดตและรีสตาร์ทเบราว์เซอร์ทันที
ข้อมูลสำคัญจากข่าว
Chrome 141 อัปเดตเพื่อแก้ไขช่องโหว่ความปลอดภัย 3 รายการ
CVE-2025-11458: heap buffer overflow ในฟีเจอร์ Sync
CVE-2025-11460: use-after-free ในระบบ Storage
CVE-2025-11211: out-of-bounds read ใน WebCodecs API
ช่องโหว่ใน Sync อาจนำไปสู่การรันโค้ดหรือทำให้เบราว์เซอร์ล่ม
ช่องโหว่ใน Storage อาจทำให้ข้อมูลรั่วไหลหรือถูกโจมตีผ่านเว็บเพจ
ช่องโหว่ใน WebCodecs อาจทำให้ข้อมูลในหน่วยความจำรั่วไหล
Chrome เวอร์ชันใหม่คือ 141.0.7390.65/.66 สำหรับ Windows/macOS และ .65 สำหรับ Linux
ผู้ใช้สามารถอัปเดตผ่าน Settings → Help → About Google Chrome
ข้อมูลเสริมจากภายนอก
ช่องโหว่ heap overflow และ use-after-free เป็นเป้าหมายหลักของการโจมตีเบราว์เซอร์
WebCodecs เป็น API ใหม่ที่ช่วยให้เว็บแอปจัดการวิดีโอได้มีประสิทธิภาพมากขึ้น
Chrome ใช้สถาปัตยกรรม multiprocess เพื่อจำกัดผลกระทบจากการโจมตี
Google มีโปรแกรมแจกรางวัลสำหรับผู้รายงานช่องโหว่ (VRP) สูงสุดถึง $5,000
ช่องโหว่ใน Storage อาจถูกใช้ร่วมกับเทคนิค sandbox escape เพื่อเข้าถึงระบบ
https://securityonline.info/chrome-141-stable-fixes-two-high-severity-flaws-heap-overflow-in-sync-and-uaf-in-storage/
🛡️ “Chrome 141 อุดช่องโหว่ร้ายแรง 3 จุด — เสี่ยงถูกแฮกผ่าน Sync, Storage และ WebCodecs”
Google ได้ปล่อยอัปเดต Chrome เวอร์ชัน 141.0.7390.65/.66 สำหรับ Windows และ macOS และ 141.0.7390.65 สำหรับ Linux โดยมีการแก้ไขช่องโหว่ความปลอดภัยสำคัญ 3 รายการที่อาจเปิดทางให้ผู้โจมตีเข้าถึงข้อมูลหรือรันโค้ดอันตรายผ่านการจัดการหน่วยความจำผิดพลาด
ช่องโหว่แรกคือ CVE-2025-11458 ซึ่งเป็นช่องโหว่ระดับสูงในฟีเจอร์ Sync ของ Chrome ที่ใช้ในการซิงก์ข้อมูลผู้ใช้ เช่น bookmarks, history และ settings ข้ามอุปกรณ์ โดยมีการเขียนข้อมูลเกินขอบเขตของหน่วยความจำ (heap buffer overflow) ซึ่งอาจนำไปสู่การรันโค้ดโดยไม่ได้รับอนุญาตหรือทำให้เบราว์เซอร์ล่ม
ช่องโหว่ที่สองคือ CVE-2025-11460 ซึ่งเป็นบั๊กแบบ use-after-free ในระบบ Storage ของ Chrome ที่จัดการฐานข้อมูลภายใน เช่น IndexedDB และ LocalStorage หากถูกโจมตีผ่านเว็บเพจที่ออกแบบมาเฉพาะ อาจทำให้เกิดการใช้หน่วยความจำที่ถูกปล่อยแล้ว ส่งผลให้ข้อมูลรั่วไหลหรือรันโค้ดอันตรายได้
ช่องโหว่สุดท้ายคือ CVE-2025-11211 ซึ่งเป็นช่องโหว่ระดับกลางใน WebCodecs API ที่ใช้สำหรับประมวลผลวิดีโอและเสียง โดยเกิดจากการอ่านข้อมูลนอกขอบเขตหน่วยความจำ (out-of-bounds read) ซึ่งอาจทำให้ข้อมูลในหน่วยความจำรั่วไหลหรือทำให้เบราว์เซอร์ไม่เสถียรระหว่างการเล่นไฟล์มีเดีย
Google แนะนำให้ผู้ใช้ทุกคนอัปเดต Chrome โดยเร็วที่สุด โดยสามารถเข้าไปที่ Settings → Help → About Google Chrome เพื่อเริ่มการอัปเดตและรีสตาร์ทเบราว์เซอร์ทันที
✅ ข้อมูลสำคัญจากข่าว
➡️ Chrome 141 อัปเดตเพื่อแก้ไขช่องโหว่ความปลอดภัย 3 รายการ
➡️ CVE-2025-11458: heap buffer overflow ในฟีเจอร์ Sync
➡️ CVE-2025-11460: use-after-free ในระบบ Storage
➡️ CVE-2025-11211: out-of-bounds read ใน WebCodecs API
➡️ ช่องโหว่ใน Sync อาจนำไปสู่การรันโค้ดหรือทำให้เบราว์เซอร์ล่ม
➡️ ช่องโหว่ใน Storage อาจทำให้ข้อมูลรั่วไหลหรือถูกโจมตีผ่านเว็บเพจ
➡️ ช่องโหว่ใน WebCodecs อาจทำให้ข้อมูลในหน่วยความจำรั่วไหล
➡️ Chrome เวอร์ชันใหม่คือ 141.0.7390.65/.66 สำหรับ Windows/macOS และ .65 สำหรับ Linux
➡️ ผู้ใช้สามารถอัปเดตผ่าน Settings → Help → About Google Chrome
✅ ข้อมูลเสริมจากภายนอก
➡️ ช่องโหว่ heap overflow และ use-after-free เป็นเป้าหมายหลักของการโจมตีเบราว์เซอร์
➡️ WebCodecs เป็น API ใหม่ที่ช่วยให้เว็บแอปจัดการวิดีโอได้มีประสิทธิภาพมากขึ้น
➡️ Chrome ใช้สถาปัตยกรรม multiprocess เพื่อจำกัดผลกระทบจากการโจมตี
➡️ Google มีโปรแกรมแจกรางวัลสำหรับผู้รายงานช่องโหว่ (VRP) สูงสุดถึง $5,000
➡️ ช่องโหว่ใน Storage อาจถูกใช้ร่วมกับเทคนิค sandbox escape เพื่อเข้าถึงระบบ
https://securityonline.info/chrome-141-stable-fixes-two-high-severity-flaws-heap-overflow-in-sync-and-uaf-in-storage/
0 Comments
0 Shares
116 Views
0 Reviews
Thai