หน่วยงานความมั่นคงไซเบอร์สหรัฐฯ เตือนภัยช่องโหว่ Chrome ร้ายแรง

CISA (Cybersecurity and Infrastructure Security Agency) ซึ่งเป็นหน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา ได้ออกคำเตือนถึงหน่วยงานรัฐบาลกลางของสหรัฐฯ ให้เร่งเสริมความปลอดภัยของระบบเพื่อป้องกันการโจมตีที่กำลังเกิดขึ้น โดยใช้ประโยชน์จากช่องโหว่ที่มีความรุนแรงสูงในเว็บเบราว์เซอร์ Google Chrome

ช่องโหว่ดังกล่าวถูกระบุเป็น CVE-2025-4664 ค้นพบโดย Vsevolod Kokorin นักวิจัยด้านความปลอดภัยจาก Solidlab ซึ่งได้เปิดเผยรายละเอียดทางเทคนิคทางออนไลน์เมื่อวันที่ 5 พฤษภาคมที่ผ่านมา และ Google ได้ออกการอัปเดตเพื่อแก้ไขช่องโหว่นี้แล้วเมื่อวันพุธที่ผ่านมา

ตามคำอธิบายของ Kokorin ช่องโหว่นี้เกิดขึ้นเนื่องจากการบังคับใช้นโยบายที่ไม่เพียงพอในส่วนประกอบ Loader ของ Google Chrome และหากการโจมตีสำเร็จ ผู้โจมตีจากระยะไกลสามารถเจาะข้อมูลข้ามต้นทาง (cross-origin data) ได้ผ่านหน้า HTML ที่สร้างขึ้นโดยมุ่งร้าย

Kokorin อธิบายเพิ่มเติมว่า “คุณอาจทราบดีว่า Chrome นั้นแตกต่างจากเบราว์เซอร์อื่นตรงที่สามารถแก้ไข Link header ในคำขอทรัพยากรย่อยได้ แต่ปัญหาคืออะไร? ปัญหาคือ Link header สามารถกำหนด referrer-policy ได้ เราสามารถระบุ unsafe-url และดักจับพารามิเตอร์การค้นหาทั้งหมดได้” เขายังเสริมว่า “พารามิเตอร์การค้นหาอาจมีข้อมูลที่ละเอียดอ่อน เช่น ในขั้นตอน OAuth ซึ่งอาจนำไปสู่การยึดบัญชี (Account Takeover) ได้ นักพัฒนาไม่ค่อยนึกถึงความเป็นไปได้ในการขโมยพารามิเตอร์การค้นหาผ่านรูปภาพจากทรัพยากรของบุคคลที่สาม”

แม้ Google จะไม่ได้เปิดเผยว่าช่องโหว่นี้เคยถูกนำไปใช้ในการโจมตีมาก่อนหรือไม่ หรือยังคงถูกใช้ประโยชน์อยู่หรือไม่ แต่ได้เตือนในคำแนะนำด้านความปลอดภัยว่ามี Public Exploit หรือโค้ดสำหรับใช้โจมตีช่องโหว่นี้เผยแพร่สู่สาธารณะ ซึ่งเป็นวิธีปกติที่ Google ใช้บอกใบ้ถึงการโจมตีที่กำลังเกิดขึ้นจริง

หนึ่งวันต่อมา CISA ได้ยืนยันว่าช่องโหว่ CVE-2025-4664 กำลังถูกใช้ประโยชน์ในการโจมตีจริง และได้เพิ่มช่องโหว่นี้เข้าไปใน Known Exploited Vulnerabilities catalog ซึ่งเป็นรายการช่องโหว่ด้านความปลอดภัยที่ถูกใช้ในการโจมตีจริงอยู่ ณ ปัจจุบัน

ภายใต้คำสั่ง Binding Operational Directive (BOD) 22-01 ที่มีผลบังคับใช้ตั้งแต่เดือนพฤศจิกายน 2021 หน่วยงานรัฐบาลกลางฝ่ายบริหารของสหรัฐฯ (FCEB) ต้องทำการแพตช์การติดตั้ง Chrome ภายในสามสัปดาห์ หรือภายในวันที่ 7 พฤษภาคม เพื่อรักษาความปลอดภัยของระบบจากการถูกละเมิดข้อมูลที่อาจเกิดขึ้น แม้คำสั่งนี้จะบังคับใช้เฉพาะหน่วยงานรัฐบาลกลาง แต่ผู้ดูแลระบบเครือข่ายทุกคนควรให้ความสำคัญกับการแพตช์ช่องโหว่นี้โดยเร็วที่สุด

“ช่องโหว่ประเภทนี้เป็นช่องทางที่ผู้ไม่หวังดีใช้ในการโจมตีอยู่บ่อยครั้ง และก่อให้เกิดความเสี่ยงอย่างมากต่อระบบของรัฐบาลกลาง” หน่วยงานความมั่นคงไซเบอร์เตือน นี่เป็นช่องโหว่ Zero-day ใน Chrome ที่ถูกใช้ประโยชน์ในการโจมตีจริงครั้งที่สองที่ Google ได้ออกแพตช์ในปีนี้ หลังจากช่องโหว่ Zero-day ร้ายแรงอีกตัว (CVE-2025-2783) ที่ถูกใช้ในการโจมตีหน่วยงานภาครัฐ สื่อ และสถาบันการศึกษาของรัสเซีย ในการโจมตีแบบจารกรรมไซเบอร์ โดยนักวิจัยจาก Kaspersky ที่ตรวจพบการโจมตี Zero-day ดังกล่าว ระบุว่าผู้โจมตีใช้ประโยชน์จากช่องโหว่ CVE-2025-2783 เพื่อหลีกเลี่ยงการป้องกัน Sandbox ของ Google Chrome และแพร่กระจายมัลแวร์ไปยังเป้าหมาย