ถึงแม้ Chrome จะเป็นหนึ่งในเว็บเบราว์เซอร์ที่ถูกใช้งานมากที่สุดในโลกตัวหนึ่ง แต่ก็มีข่าวเรื่องการตรวจพบช่องโหว่อันตรายปรากฏขึ้นมาให้เห็นอยู่เรื่อย ๆ เช่นเดียวกันเป็นเงาตามตัว

จากรายงานโดยเว็บไซต์ SC World ได้กล่าวถึงการตรวจพบช่องโหว่ความปลอดภัย CVE-2025-4664 บน Chrome โดยช่องโหว่ดังกล่าวนี้เป็นช่องโหว่ที่เกิดจากการบังคับใช้นโยบายอย่างไม่เพียงพอ และครอบคลุม (Insufficient Policy Enforcement) ในส่วนของ Loader ที่อยู่บนเว็บเบราว์เซอร์ Chrome ตั้งแต่รุ่น 136.0.7103.113 ส่งผลให้เกิดการรั่วไหลของข้อมูลสำคัญ เช่น ข้อมูลรหัสสำหรับยืนยันตัวตนของผู้ใช้งานงานแบบ OAuth, รหัสผ่านที่ถูกบันทึกอยู่บนเว็บเบราว์เซอร์, และที่อยู่อีเมลเป็นต้น ผ่านทางการดึงข้อมูลในส่วน Query Parameters และเปิดช่องให้แฮกเกอร์ขโมยข้อมูลที่รั่วไหลผ่านทางการใช้งาน URL พิเศษที่ถูกสร้างมาเพื่อการนี้โดยเฉพาะได้

ซึ่งในการใช้งานช่องโหว่นี้ ทางนักวิจัยได้อธิบายว่า แฮกเกอร์จะส่งลิงก์ที่เหมือนหน้าเพจปกติ แต่ภายในนั้นกลับมีการซ่อนโค้ดที่จะทำงานตอนที่ Chrome ทำการส่ง Subresource Request เพื่อดาวน์โหลดวัตถุบนเว็บไซต์เช่น รูปภาพให้เกิดการแสดงผลบนเว็บเบราว์เซอร์ แต่กลับเป็นการทำให้สคริปท์แก้ Policy ที่มีชื่อว่า attacker-controlled referrer-policy ซึ่งถูกฝังไว้ในส่วนของ Header ทำงาน นำไปสู่การปรับเปลี่ยน referrer-policy ให้เป็น unsafe-url ทำให้ข้อมูลในส่วนของ Query Parameters หลุดไปถึงมือของแฮกเกอร์ที่ใช้งานวิธีนี้

ภาพจาก : https://x.com/slonser_/status/1919439373986107814/photo/1

แหล่งข่าวยังได้ระบุอีกว่า ผู้ใช้งานไม่จำเป็นต้องกังวลใจ เนื่องจากอัปเดตล่าสุดของ Chrome นั้นได้มีการอุดช่องโหว่ดังกล่าวลงไปเป็นที่เรียบร้อยแล้ว ดังนั้นขอให้ผู้อ่านที่ใช้งาน Chrome ทำการอัปเดตเว็บเบราว์เซอร์ในทันที

ที่มา : www.scworld.com , thehackernews.com , nvd.nist.gov