Google Chrome ออกแพตช์ด่วนอุดช่องโหว่ Zero-day แรกของปี 2026 หลังพบการโจมตีจริงในวงกว้าง เบราว์เซอร์อื่นที่ใช้ Chromium ก็อัปเดตด่วนแล้วเช่นกัน
Google ประกาศอัปเดตด้านความปลอดภัยครั้งสำคัญสำหรับเบราว์เซอร์ Chrome เพื่อแก้ไขช่องโหว่ระดับอันตรายสูง ซึ่งได้รับการยืนยันว่ามีการนำไปใช้โจมตีผู้ใช้งานจริงในขณะนี้ ถือเป็นช่องโหว่ระดับ Zero-day รายการแรกที่ถูกค้นพบและแก้ไขในปี 2026
ช่องโหว่ดังกล่าวมีรหัส CVE-2026-2441 โดยมีคะแนนความรุนแรง (CVSS Score) สูงถึง 8.8 สาเหตุเกิดจากข้อผิดพลาดประเภท Use-After-Free ภายในส่วนการจัดการ CSS (Cascading Style Sheets) ซึ่ง Shaheen Fazim นักวิจัยด้านความปลอดภัย เป็นผู้ตรวจพบและรายงานไปยัง Google เมื่อวันที่ 11 กุมภาพันธ์ 2026 ที่ผ่านมา
ความอันตรายของ Use-After-Free ใน CSS
ตามข้อมูลจากฐานข้อมูลช่องโหว่แห่งชาติ (NVD) ระบุว่า ช่องโหว่ใน Chrome เวอร์ชันที่ต่ำกว่า 145.0.7632.75 เปิดโอกาสให้ผู้ไม่หวังดีสามารถส่งหน้า HTML ที่ปรับแต่งมาเป็นพิเศษ เพื่อเข้าควบคุมหน่วยความจำที่ถูกคืนค่าไปแล้ว (Free memory) ในขณะที่โปรแกรมยังคงพยายามเข้าถึงหน่วยความจำส่วนนั้นอยู่
ผู้โจมตีสามารถรันโค้ดอันตราย ภายในสภาพแวดล้อม Sandbox ของเบราว์เซอร์ได้จากระยะไกล แม้ Google จะยังไม่เปิดเผยรายละเอียดพฤติกรรมการโจมตีหรือกลุ่มเป้าหมาย เพื่อป้องกันไม่ให้ข้อมูลถูกนำไปขยายผลต่อ แต่ได้ออกมายอมรับอย่างชัดเจนว่า “มีการแสวงหาประโยชน์จากช่องโหว่ CVE-2026-2441 เกิดขึ้นจริงแล้ว”
Browser ตกเป็นเป้าหมายสูงสุดในปี 2026
ในเชิงเทคโนโลยีและยุทธศาสตร์ความปลอดภัยไซเบอร์ การที่ Chrome มักถูกโจมตีด้วยช่องโหว่ Zero-day (ปี 2025 พบถึง 8 รายการ) สะท้อนให้เห็นถึงแนวโน้มที่น่าสนใจ 2 ประการ:
เบราว์เซอร์ไม่ได้เป็นเพียงโปรแกรมสำหรับเปิดเว็บไซต์อีกต่อไป แต่กลายเป็น “ระบบปฏิบัติการย่อย” ที่รันแอปพลิเคชันซับซ้อน การที่ Chrome ครองส่วนแบ่งตลาดสูงสุดและถูกติดตั้งในแทบทุกอุปกรณ์ ทำให้มันกลายเป็นช่องทางที่มีประสิทธิภาพที่สุด (Most Cost-Effective) สำหรับแฮกเกอร์ในการเข้าถึงข้อมูลส่วนบุคคล
การจัดการ CSS และ JavaScript มีความซับซ้อนขึ้นเรื่อย ๆ ตามวิวัฒนาการของเว็บเทคโนโลยี ส่งผลให้การจัดการหน่วยความจำ (Memory Management) มีช่องว่างให้เกิดข้อผิดพลาดแบบ Use-After-Free ได้ง่ายขึ้น ซึ่งเป็นจุดอ่อนคลาสสิกที่ยากจะกำจัดให้หมดสิ้นไปในระดับโครงสร้างภาษา C++
นอกจากนี้ การที่ Apple เพิ่งออกอัปเดตแก้ช่องโหว่ CVE-2026-20700 ใน iOS และ macOS ไปเมื่อสัปดาห์ก่อน ยิ่งตอกย้ำว่าต้นปี 2026 นี้ กลุ่มผู้โจมตีระดับสูง (Advanced Persistent Threats – APT) กำลังมุ่งเป้าไปที่ช่องโหว่ระดับโครงสร้างของซอฟต์แวร์พื้นฐานที่เข้าถึงผู้ใช้จำนวนมากพร้อมกัน
คำแนะนำการรับมือสำหรับผู้ใช้งาน
เพื่อความปลอดภัยสูงสุด ผู้ใช้งานควรดำเนินการอัปเดตเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุดทันที:
- Windows และ macOS: อัปเดตเป็นเวอร์ชัน 145.0.7632.75 หรือ 76
- Linux: อัปเดตเป็นเวอร์ชัน 144.0.7559.75
วิธีอัปเดต: ไปที่เมนู More (จุดสามจุด) > Help (ความช่วยเหลือ) > About Google Chrome (เกี่ยวกับ Google Chrome) ระบบจะทำการตรวจสอบและดาวน์โหลดแพตช์ให้อัตโนมัติ จากนั้นให้กด Relaunch เพื่อเริ่มการทำงานใหม่
จากการตรวจสอบข้อมูลล่าสุด พบว่าผู้พัฒนาเบราว์เซอร์รายใหญ่ที่ใช้โครงสร้าง Chromium ได้ทยอยออกอัปเดตด่วนเพื่ออุดช่องโหว่ CVE-2026-2441 ตามหลัง Google Chrome มาอย่างกระชั้นชิด เนื่องจากเป็นช่องโหว่ระดับ Zero-day ที่มีความเสี่ยงสูง โดยมีรายละเอียดดังนี้ครับ:
สถานะการอัปเดตของเบราว์เซอร์ Chromium อื่น ๆ
| เบราว์เซอร์ | เวอร์ชันที่ปลอดภัย (ขั้นต่ำ) | สถานะการอัปเดต |
| Microsoft Edge | 144.0.3719.130 | ปล่อยอัปเดตแล้ว (เมื่อ 20 ก.พ. 2026) โดยรวมการแก้ช่องโหว่ CVE-2026-2441 และบั๊กอื่น ๆ ของ Edge เอง |
| Vivaldi | 7.8 (Desktop & Android) | ปล่อยอัปเดตแล้ว (เมื่อ 13 ก.พ. 2026) อัปเกรดเป็น Chromium 144 ESR ที่รวมแพตช์ความปลอดภัยจากเวอร์ชัน 145 |
| Brave | ตรวจสอบผ่านเมนู About | แนะนำให้แจ้งอัปเดตทันที โดยปกติ Brave จะปล่อยแพตช์ภายใน 24-48 ชั่วโมงหลังจาก Chromium ต้นทาง |
| Opera / Opera GX | ตรวจสอบผ่านเมนู About | แนะนำให้แจ้งอัปเดตทันที ปัจจุบันมีการแจ้งเตือนผู้ใช้ให้เฝ้าระวังและกดอัปเดตผ่านระบบอัตโนมัติ |
ข้อมูล: The Hacker News