ចំណុចខ្សោយ zero-day ដ៏គ្រោះថ្នាក់នៅក្នុង Google Chrome; អ្នកប្រើប្រាស់គួរតែដឹង។

ក្រុមហ៊ុន Google ទើបតែចេញផ្សាយការអាប់ដេតបន្ទាន់សម្រាប់កម្មវិធីរុករក Chrome ដើម្បីជួសជុលចំណុចខ្សោយសុវត្ថិភាពសំខាន់ៗចំនួនពីរ រួមទាំងចំណុចខ្សោយ zero-day ដែលកំពុងត្រូវបានពួក Hacker កេងប្រវ័ញ្ចយ៉ាងសកម្ម។

អ្នកជំនាញសន្តិសុខតាមអ៊ីនធឺណិតព្រមានថា អ្នកប្រើប្រាស់រាប់ពាន់លាននាក់នៅទូទាំងពិភពលោកអាចប្រឈមនឹងហានិភ័យនៃការលេចធ្លាយទិន្នន័យរសើប រួមទាំងថូខឹនវគ្គ ខូគី និងព័ត៌មានចូល។

ចំណុចខ្សោយធ្ងន់ធ្ងរពីរ៖ ការកេងប្រវ័ញ្ចជាក់ស្តែង និងការលេចធ្លាយទិន្នន័យ។

ចំណុចខ្សោយដំបូង ដែលត្រូវបានកំណត់ថាជា CVE-2025-5419 បានលេចឡើងនៅក្នុងម៉ាស៊ីន V8 Engine - ប្រព័ន្ធដំណើរការ JavaScript និង WebAssembly របស់ Chrome។

យោងតាមសេចក្តីប្រកាសជាផ្លូវការមួយពី Google ភាពងាយរងគ្រោះនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារអនុវត្តប្រតិបត្តិការអាន និងសរសេរលើសពីតំបន់អង្គចងចាំដែលបានបែងចែក ដោយបើកទ្វារឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយ។

តាមពិតទៅ ដោយគ្រាន់តែចូលទៅកាន់គេហទំព័រដែលមានលេខកូដកេងប្រវ័ញ្ច ពួក Hacker អាចទទួលបានការគ្រប់គ្រងលើកម្មវិធីរុករក ឬឧបករណ៍របស់ពួកគេ។ Google បានបញ្ជាក់ថា ភាពងាយរងគ្រោះនេះត្រូវបានគេកេងប្រវ័ញ្ចមុនពេលវាត្រូវបានបង្ហាញជាសាធារណៈ ដែលធ្វើឱ្យវាក្លាយជាការគំរាមកំហែងសន្តិសុខតាមអ៊ីនធឺណិតដ៏គួរឱ្យព្រួយបារម្ភបំផុតមួយនៅក្នុងឆមាសទីមួយនៃឆ្នាំនេះ។

ចំណុចខ្សោយទីពីរ គឺ CVE-2025-4664 ទាក់ទងនឹងរបៀបដែលកម្មវិធីរុករកបណ្ដាញដោះស្រាយ HTTP headers និង referrer-policy នៅពេលផ្ទុកធនធានជំនួយ។ យោងតាមអ្នកស្រាវជ្រាវ ពួក Hacker អាចទាញយកចំណុចខ្សោយនេះដើម្បីប្រមូលព័ត៌មានរសើបតាមរយៈ URL រួមទាំង OAuth access tokens, session IDs និងប៉ារ៉ាម៉ែត្រដែលមានទិន្នន័យឯកជន។

គ្រោះថ្នាក់ជាងនេះទៅទៀត យន្តការវាយប្រហារនេះអាចកើតឡើងដោយស្ងៀមស្ងាត់ ដែលមិនតម្រូវឱ្យអ្នកប្រើប្រាស់ធ្វើសកម្មភាពអ្វីក្រៅពីការចូលទៅកាន់គេហទំព័រដែលឆ្លងមេរោគនោះទេ។

ការជូនដំណឹងជាសកល និងការឆ្លើយតបរបស់ Google

ភ្លាមៗបន្ទាប់ពីភាពងាយរងគ្រោះត្រូវបានរកឃើញ Google បានចេញផ្សាយការអាប់ដេតសុវត្ថិភាពដែលត្រូវគ្នា៖ កំណែ 137.0.7151.68/.69 សម្រាប់ Windows, Linux និង macOS ដើម្បីជួសជុល CVE-2025-5419 និងកំណែ 136.0.7103.113/.114 ដើម្បីជួសជុល CVE-2025-4664។

ទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិតដូចជា CISA របស់សហរដ្ឋអាមេរិក និង CERT-In របស់ប្រទេសឥណ្ឌា បានចេញការព្រមានជាបន្ទាន់ ដោយជំរុញឱ្យអ្នកប្រើប្រាស់ និងអង្គការនានា ធ្វើបច្ចុប្បន្នភាពកម្មវិធីរុករក Chrome របស់ពួកគេជាបន្ទាន់ ដើម្បីជៀសវាងការក្លាយជាជនរងគ្រោះនៃការវាយប្រហារដែលកំពុងបន្ត។

ហានិភ័យសម្រាប់អ្នកប្រើប្រាស់ម្នាក់ៗ និងអាជីវកម្ម

អ្នកជំនាញសន្តិសុខជឿជាក់ថា ភាពងាយរងគ្រោះទាំងពីរអាចត្រូវបានកេងប្រវ័ញ្ចដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន ទទួលបានការគ្រប់គ្រងកម្មវិធីរុករក និងថែមទាំងបើកផ្លូវសម្រាប់ការវាយប្រហារទ្រង់ទ្រាយធំដូចជាការដំឡើងមេរោគ ចារកម្ម ឬការអ៊ិនគ្រីប ransomware។

ដោយសារពេលវេលាដែលត្រូវការដើម្បីទាញយកអត្ថប្រយោជន៍ពីចំណុចខ្សោយកំពុងថយចុះ ពីច្រើនថ្ងៃទៅត្រឹមតែប៉ុន្មានម៉ោងបន្ទាប់ពីព័ត៌មានត្រូវបានចេញផ្សាយ ការអាប់ដេតកម្មវិធីទាន់ពេលវេលាគឺមានសារៈសំខាន់ណាស់។

លើសពីនេះ ដោយសារ ភាពងាយរងគ្រោះនេះត្រូវបានកេងប្រវ័ញ្ចស្ទើរតែភ្លាមៗបន្ទាប់ពីការរកឃើញ អ្នកវាយប្រហារអាចបញ្ចេញមេរោគក្នុងរយៈពេលប៉ុន្មានម៉ោង ដែលដាក់សម្ពាធយ៉ាងខ្លាំងទៅលើប្រព័ន្ធដែលមិនមានពេលវេលាដើម្បីធ្វើបច្ចុប្បន្នភាព។

វិធីការពារ និងការពារទិន្នន័យ

សម្រាប់អ្នកប្រើប្រាស់ម្នាក់ៗ ដំបូន្មានគឺត្រូវចូលទៅកាន់ផ្នែក "អំពី Google Chrome" នៅក្នុងម៉ឺនុយជំនួយ ដើម្បីពិនិត្យមើលកំណែ និងធ្វើបច្ចុប្បន្នភាពកម្មវិធីរុករកភ្លាមៗ (ចូលទៅកាន់ម៉ឺនុយ > ជំនួយ > អំពី Google Chrome)។ បន្ទាប់ពីធ្វើបច្ចុប្បន្នភាពរួច អ្នកត្រូវចាប់ផ្តើមកម្មវិធីរុករកឡើងវិញ ដើម្បីធានាថាបំណះត្រូវបានអនុវត្ត។

ក្នុងពេលជាមួយគ្នានេះ អ្នកប្រើប្រាស់គួរតែជៀសវាងការចុចលើតំណភ្ជាប់គួរឱ្យសង្ស័យ ជាពិសេសពីអ៊ីមែល ប្រព័ន្ធផ្សព្វផ្សាយសង្គម ឬគេហទំព័រដែលមិនគួរឱ្យទុកចិត្ត។

ការប្រើប្រាស់កម្មវិធីសុវត្ថិភាព តម្រង URL ឬឧបករណ៍រុករកដោយសុវត្ថិភាពផ្សេងទៀតក៏ត្រូវបានណែនាំផងដែរ ដើម្បីកាត់បន្ថយហានិភ័យ។

សម្រាប់អាជីវកម្ម និងអង្គការនានាដែលត្រូវការដាក់ពង្រាយការអាប់ដេត Chrome ដោយស្វ័យប្រវត្តិនៅលើឧបករណ៍ទាំងអស់នៅលើបណ្តាញរបស់ពួកគេ សូមតាមដានសកម្មភាពចូលប្រើបណ្តាញដើម្បីរកឃើញភាពមិនប្រក្រតី និងជូនដំណឹងដល់បុគ្គលិកផ្ទៃក្នុងអំពីការលេចធ្លាយទិន្នន័យដែលអាចកើតមាន។

ឧបករណ៍ត្រួតពិនិត្យសុវត្ថិភាពដោយស្វ័យប្រវត្តិដូចជា Wazuh ឬដំណោះស្រាយ sandbox ក៏អាចត្រូវបានប្រើដើម្បីរកឃើញការវាយប្រហារដែលកំពុងត្រូវបានប្រើដើម្បីវាយប្រហារភាពងាយរងគ្រោះផងដែរ។