CVE-2026-11645: ช่องโหว่ Zero-Day ตัวที่ 5 ของ Chrome ที่กำลังถูกโจมตี แพตช์ด่วนมาแล้ว

ช่องโหว่นี้มีคะแนน CVSS สูงถึง 8.8 ซึ่งจัดอยู่ในหมวด "ความรุนแรงสูง" สำหรับผู้ใช้ หากการโจมตีสำเร็จ จะหมายความว่าผู้ไม่หวังดีสามารถรันโค้ดบนระบบของคุณด้วยสิทธิ์ของโปรเซสเบราว์เซอร์ ซึ่งโดยปกติก็เพียงพอต่อการติดตั้งมัลแวร์ ขโมยข้อมูล หรือหาช่องทางโจมตีอื่นๆ ต่อไป แม้ว่ารายงานของ Google จะใช้ภาษามาตรฐานว่าข้อบกพร่องนี้ "อนุญาตให้ผู้โจมตีระยะไกลรันโค้ดตามอำเภอใจภายในแซนด์บ็อกซ์" แต่โดยธรรมชาติของช่องโหว่การอ่าน/เขียนนอกขอบเขต ยังทำให้เทคนิคต่างๆ เช่น การเลี่ยงกลไก ASLR เป็นสิ่งที่ทำได้จริง สำหรับผู้โจมตีที่ต้องการเจาะระบบให้ลึกขึ้น

รายละเอียดแพตช์และไทม์ไลน์

แพตช์ฉุกเฉินนี้ถูกปล่อยผ่านช่องทาง Stable Desktop ในวันที่ 8 มิถุนายน 2026 โดยเป็นส่วนหนึ่งของการอัปเดตครั้งใหญ่ที่แก้ไขช่องโหว่ด้านความปลอดภัยถึง 74 รายการในครั้งเดียว Google ได้ยืนยันว่ามีการใช้โค้ดโจมตี (Exploit) สำหรับ CVE-2026-11645 "พบในโลกจริงแล้ว" ซึ่งทำให้การอัปเดตนี้เป็นเรื่องเร่งด่วนที่ผู้ใช้ Chrome บนเดสก์ท็อปทุกคนต้องดำเนินการ

เวอร์ชันที่ได้รับการแพตช์แล้วคือ:

• Windows และ macOS: Chrome 149.0.7827.102 / 149.0.7827.103
• Linux: Chrome 149.0.7827.102

ตามมาตรฐานการอัปเดต Stable ของ Chrome การแก้ไขนี้จะทยอยปล่อยให้ผู้ใช้ทั่วโลกภายในไม่กี่วันถึงสัปดาห์ อย่างไรก็ตาม ผู้ใช้สามารถบังคับให้เบราว์เซอร์ตรวจสอบและติดตั้งอัปเดตด้วยตัวเองได้ผ่าน เมนู Chrome > ความช่วยเหลือ > เกี่ยวกับ Google Chrome

Bug Bounty และการเปิดเผยข้อมูล

นักวิจัยด้านความปลอดภัยนิรนามที่ใช้ชื่อว่า "303f06e3" เป็นผู้ค้นพบและรายงานช่องโหว่นี้แก่ Google เมื่อวันที่ 27 เมษายน 2026 Google ได้มอบเงินรางวัลมูลค่า 55,000 ดอลลาร์สหรัฐฯ สำหรับการค้นพบนี้ ซึ่งสอดคล้องกับระดับรางวัลของโครงการ Chrome Vulnerability Rewards Program สำหรับข้อบกพร่องด้านหน่วยความจำของ V8 ที่มีผลกระทบสูง อย่างไรก็ตาม ในบล็อก Chrome Releases อย่างเป็นทางการของ Google สำหรับรอบนี้ แม้จะมีการระบุจำนวนเงินรางวัลรวมไว้ในสรุป แต่บริษัทมักจะไม่ระบุตัวเลขเงินรางวัลแยกเป็นรายช่องโหว่ในคำแนะนำด้านความปลอดภัย

ภาพรวมช่องโหว่ Zero-Day ของ Chrome ในปี 2026

เมื่อนับรวม CVE-2026-11645 แล้ว Chrome มีช่องโหว่ Zero-Day ที่ถูกโจมตีและได้รับการแพตช์ไปแล้วถึง 5 ครั้งในปี 2026 เพียงปีเดียว รายชื่อทั้งหมดก่อนเดือนมิถุนายนแสดงให้เห็นถึงจังหวะการโจมตีช่องโหว่ของเบราว์เซอร์ที่ถี่ขึ้นอย่างเห็นได้ชัด:

• CVE-2026-2441 (กุมภาพันธ์ 2026): ข้อบกพร่อง Use-After-Free ในการประมวลผล CSS ของ Chrome ทำให้สามารถรันโค้ดจากระยะไกลภายในแซนด์บ็อกซ์ผ่านหน้า HTML ที่สร้างขึ้นมา
• CVE-2026-3909 (12 มีนาคม 2026): ช่องโหว่การเขียนข้อมูลนอกขอบเขต (Out-of-bounds Write) ใน Skia ซึ่งเป็นไลบรารีกราฟิก 2 มิติที่เป็นรากฐานของระบบแสดงผลของ Chrome
• CVE-2026-3910 (12 มีนาคม 2026): ข้อผิดพลาดในการนำไปใช้งาน (Inappropriate Implementation) ใน V8 ที่ทำให้สามารถรันโค้ดตามอำเภอใจภายในแซนด์บ็อกซ์ของเบราว์เซอร์ ได้รับการแพตช์พร้อมกันกับ CVE-2026-3909
• CVE-2026-5281 (1 เมษายน 2026): ข้อบกพร่อง Use-After-Free ใน Dawn ซึ่งเป็นการทำงานข้ามแพลตฟอร์มของ WebGPU ใน Chrome ที่ CISA ได้เพิ่มเข้าไปในแคตตาล็อกช่องโหว่ที่รู้จักและกำลังถูกโจมตี (Known Exploited Vulnerabilities) พร้อมกำหนดเส้นตายให้หน่วยงานรัฐบาลกลางสหรัฐฯ ต้องทำการแพตช์
• CVE-2026-11645 (มิถุนายน 2026): ช่องโหว่ Zero-Day จากการอ่าน/เขียนข้อมูลนอกขอบเขตใน V8 ที่ได้รับการแก้ไขในการอัปเดตฉุกเฉินครั้งนี้

ช่องโหว่ทั้งห้าตัวนี้ถูกยืนยันว่ามีการโจมตีจริงก่อนที่จะมีการปล่อยแพตช์ ซึ่งเป็นรูปแบบที่ทำให้ปี 2026 มีแนวโน้มที่จะทำลายสถิติจำนวนช่องโหว่ Zero-Day ของ Chrome จากปีก่อนๆ หลายแหล่งข่าวที่ติดตามวงจรการแพตช์ระบุว่า ในแต่ละเดือนมักจะมีการเปิดเผยช่องโหว่อย่างน้อยหนึ่งตัวที่ถูกโจมตีจริง ซึ่งสร้างแรงกดดันอย่างต่อเนื่องให้ทีมไอทีต้องลดระยะเวลาในการแพตช์ซอฟต์แวร์เบราว์เซอร์ลง

ผู้ใช้ควรทำอะไรตอนนี้

โดยปกติ Chrome จะอัปเดตตัวเองในเบื้องหลัง แต่การทยอยอัปเดตอัตโนมัติอาจใช้เวลาหลายวันกว่าจะถึงผู้ใช้ทุกคน เพื่อความปลอดภัยในทันที ให้เปิด Chrome ไปที่เมนูสามจุดที่มุมบนขวา เลือก ความช่วยเหลือ > เกี่ยวกับ Google Chrome และอนุญาตให้เบราว์เซอร์ตรวจสอบและติดตั้งอัปเดตที่มีอยู่ หมายเลขเวอร์ชันควรจะเป็น 149.0.7827.102 ขึ้นไป สำหรับ Windows และ Linux และ 149.0.7827.103 ขึ้นไป สำหรับ macOS

องค์กรที่ดูแลการติดตั้งใช้งาน Chrome ควรตรวจสอบว่าอุปกรณ์ปลายทางทั้งหมดได้รับเวอร์ชันเสถียรล่าสุดแล้ว และพิจารณาเร่ง timeline การแพตช์นอกตารางนี้ เพราะสถานะการโจมตีที่ยืนยันแล้วหมายความว่าระบบใดก็ตามที่ยังรัน Chrome เวอร์ชันเก่าอยู่ ยังคงตกเป็นเป้าของการโจมตีได้