พบช่องโหว่ Use-After-Free ใน Chrome CVE-2025-9478
Last updated: 28 Aug 2025
222 Views
สรุปข้อมูล
พบช่องโหว่ CVE-2025-9478 ใน ANGLE ซึ่งเป็น Graphic Engine ที่ใช้ประมวลผล WebGL และงานเรนเดอร์อื่น ๆ บน Google Chrome ที่เปิดโอกาสให้แฮกเกอร์สามารถ Remote สร้าง HTML Page ที่ Custom ขึ้นมาเอง เพื่อ Trigger ช่องโหว่ ส่งผลให้เกิด Heap Corruption และอาจนำไปสู่การทำ Remote Code Execution (RCE) ได้
รายละเอียดช่องโหว่
CVE-2025-9478 (ระดับความรุนแรง Critical) เป็นช่องโหว่ประเภท Use After Free (CWE-416) ใน Almost Native Graphics Layer Engine (ANGLE) ที่ใช้ในการเรนเดอร์ Graphic ของ Chrome บนหลายแพลตฟอร์ม ซึ่งแฮกเกอร์สามารถใช้ Custom HTML Page อันตรายส่งไปยัง Google Chrome ที่มีช่องโหว่ทำให้เกิด Heap Corruption และอาจนำไปสู่การ Remote Code Execution จนควบคุมระบบของเหยื่อได้
เวอร์ชันที่ได้รับผลกระทบ
- สำหรับ Windows, Linux และ Mac เวอร์ชันต่ำกว่า 139.0.7258.154
เวอร์ชันที่ได้รับการแก้ไข
- สำหรับ Windows, Linux และ Mac เวอร์ชัน 139.0.7258.154 หรือใหม่กว่า
ผลกระทบจากช่องโหว่
ผลกระทบจากช่องโหว่ CVE-2025-9478 ทำให้แฮกเอร์สามารถใช้ Google Chrome เพื่อ Remote Code Execution และสามารถเข้าควบคุมระบบได้ เช่น การขโมยข้อมูล Credential อาทิ รหัสผ่าน และ Token บนเบราว์เซอร์ การดาวน์โหลดและติดตั้งมัลแวร์อื่น ๆ เพิ่มเติมบนระบบ
คำแนะนำ
- อัปเดต Google Chrome ให้เป็นเวอร์ชันล่าสุดหรือเวอร์ชันที่ได้รับการแก้ไข
- ติดตามและปฏิบัติตามวิธีการแก้ไขปัญหาตามประกาศของ Google
- หลีกเลี่ยงการเข้าเว็บไซต์ไม่รู้จัก โดยเฉพาะลิงก์จากอีเมลหรือโฆษณาที่ไม่น่าเชื่อถือ
- ตรวจสอบการทำงานในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
- พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
แหล่งอ้างอิง
https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_26.html
Related Content
