ด่วน ค่ายยักษ์ใหญ่ Firefox, Chrome, Adobe และ VMware พาเหรดอัปเดตแพตช์ อุดช่องโหว่ความปลอดภัยระดับวิกฤต

 

วันนี้ผมมีข่าวสายความปลอดภัยไอทีที่สำคัญมากๆ มาฝากกัน เรียนว่าแบรนด์ดับที่เราใช้กันอยู่ทุกวันแทบจะพร้อมใจกันออกโรงเตือนและปล่อยอัปเดตเพื่อแก้ปัญหาช่องโหว่ร้ายแรง (Critical Flaws) กันถ้วนหน้า จะมีอะไรบ้างและเราต้องรับมืออย่างไร มาดูกันเลยครับ

Firefox เจอรหัสโจมตีหลุดสาธารณะ

เริ่มกันที่ค่ายหมาไฟ Mozilla ได้ออกอัปเดตด่วนเพื่ออุกช่องโหว่ระดับวิกฤต 2 จุดใน Firefox ซึ่งความน่ากลัวคือ ตอนนี้ "รหัสสำหรับใช้โจมตี (Exploit Code)" ได้ถูกเผยแพร่สู่สาธารณะแล้ว * CVE-2026-15718: ปัญหาเกี่ยวกับ Invalid Pointer ในส่วนประกอบ JavaScript: WebAssembly

  • CVE-2026-15719: ปัญหาการแยกไซต์ (Site Isolation) ในส่วนประกอบ DOM: Navigation
ทาง Mozilla ระบุว่า: แม้จะรู้ว่ามีรหัสโจมตีหลุดออกมาแล้ว แต่โชคดีที่ยังไม่พบรายงานการโจมตีผู้ใช้จริงในวงกว้างครับ โดยช่อโหว่ทั้งสองนี้ได้รับการแก้ไขแล้วใน Firefox เวอร์ชัน 152.0.6 ใครใช้อยู่กดอัปเดตด่วนๆ เลยครับ

Google Chrome อุดช่องโหว่ 15 จุดบนระบบ Ozone

ฝั่ง Google ก็ไม่น้อยหน้าครับ ปล่อยแพตช์แก้ช่องโหว่ความปลอดภัยถึง 15 จุด โดยไฮไลต์อยู่ที่บั๊กระดับวิกฤต 2 จุดในประเภท Use-After-Free บน Ozone (รหัส CVE-2026-15764 CVE-2026-15765) ซึ่งเป็นเลเยอร์สถาปัตยกรรมที่ช่วยให้เบราว์เซอร์ทำงานร่วมกับระบบแสดงผลของ OS ต่าง ๆ ได้ (รองรับทั้ง Linux, ChromeOS และ Fuchsia) จากข้อมูลของ NVD ระบุว่า แฮกเกอร์อาจล่อลวงให้ผู้ใช้ทำท่าทางบนหน้าจอ (UI gestures) ตามที่กำหนด ผ่านหน้าเว็บ HTML ที่ถูกสร้างขึ้นมาเป็นพิเศษ เพื่อเจาะระบบผ่านความผิดพลาดของหน่วยความจำ (Heap Corruption) ได้

  • เวอร์ชันที่ปลอดภัย: ได้รับการแก้ไขแล้วใน Chrome เวอร์ชัน 150.0.7871.124/.125 สำหรับ Windows และ Mac และเวอร์ชัน 150.0.7871.124 สำหรับ Linux

Adobe จัดหนักอัปเดตแก้บั๊กกว่า 88 จุด

รอบนี้ Adobe ปล่อยแพตช์ชุดใหญ่ไฟกระพริบ แก้ไขช่องโหว่รวมกันถึง 88 จุดในโปรแกรมดัง ๆ อย่าง ColdFusion, Commerce, Experience Manager และ Illustrator

โดยเฉพาะใน Adobe ColdFusion เจอช่องโหว่ร้ายแรงคะแนนความเสี่ยง (CVSS Score) สูงลิ่วถึง 8 จุด (คะแนนเต็ม 10 สูงสุดถึง 9.9!) เสี่ยงต่อการโดนฝังโค้ดสั่งการระยะไกล (Arbitrary Code Execution) และการเข้าถึงระบบโดยไม่ได้รับอนุญาต

  • การแก้ไข: ได้รับการอุดช่องโหว่แล้วในแพตช์ ColdFusion 2025 Update 11 และ ColdFusion 2023 Update 22 รวมถึงมีการอัปเดตความปลอดภัยใน Adobe Commerce, Magento Open Source และ Adobe Experience Manager เรียบร้อยแล้วเช่นกัน

VMware (by Broadcom): ปิดประตูข้ามระบบยืนยันตัวตน

ปิดท้ายด้วย Broadcom ที่ได้ออกแพตช์แก้ไขช่องโหว่ระดับวิกฤตใน VMware Avi Load Balancer (CVE-2026-47865 คะแนน CVSS: 9.8) ซึ่งเป็นช่องโหว่ประเภท Bypass การยืนยันตัวตน ที่อาจเปิดโอกาสให้ผู้ไม่หวังดีที่มีสิทธิ์เข้าถึงเครือข่าย สามารถทะลุเข้าไปควบคุมระบบ Avi Control plane ได้ โดยช่องโหว่นี้ถูกค้นพบและรายงานโดยเจ้าหน้าที่จากศูนย์ความมั่นคงปลอดภัยไซเบอร์ของ NATO (NCSC) ครับ

แม้ว่าในตอนนี้ (ยกเว้น Firefox ที่มีรหัสโจมตีหลุด) ช่องโหว่อื่น ๆ จะยังไม่มีรายงานว่าถูกนำไปใช้โจมตีจริงในวงกว้าง แต่กลุ่มแฮกเกอร์มักจะนำข้อมูลช่องโหว่เหล่านี้ไปพัฒนาอาวุธไซเบอร์อย่างรวดเร็ว

ดังนั้น ผมแนะนำให้องค์กร ธุรกิจ หรือแม้แต่พวกเราที่เป็นผู้ใช้ทั่วไป รีบตรวจสอบและอัปเดตซอฟต์แวร์เหล่านี้ให้เป็นเวอร์ชันล่าสุดทันที เพื่อความปลอดภัยครับ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก