Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) πρόσθεσε μια κρίσιμη ευπάθεια zero-day στη μηχανή γραφικών ANGLE του Google Chromium στον κατάλογό της Γνωστές Εκμεταλλευόμενες Ευπάθειες (KEV).
Παρακολούθηση ως CVE-2025-14174, το ελάττωμα επιτρέπει στους απομακρυσμένους επιτιθέμενους να ενεργοποιούν πρόσβαση στη μνήμη εκτός ορίων μέσω μιας κακόβουλης σελίδας HTML, που ενδεχομένως οδηγεί σε αυθαίρετη εκτέλεση κώδικα στα προγράμματα περιήγησης.
Ανακαλύφθηκε και διορθώθηκε πριν από λίγες μέρες, αυτή η ευπάθεια υπογραμμίζει τις συνεχείς απειλές για τα προγράμματα περιήγησης που βασίζονται στο Chromium και κυριαρχούν στον ιστό. Οι επιτιθέμενοι θα μπορούσαν να το εκμεταλλευτούν για παραβιασμούς, κλοπή δεδομένων ή ανάπτυξη λογισμικού ransomware, αν και η CISA σημειώνει ότι δεν υπάρχουν ακόμη επιβεβαιωμένες σχέσεις ransomware. Οι ομοσπονδιακές υπηρεσίες πρέπει να εφαρμόσουν μετριασμούς έως τις 2 Ιανουαρίου 2026 ή να διακόψουν την παραγωγή προϊόντων που επηρεάζονται.
Το CVE-2025-14174 βρίσκεται στο ANGLE, το επίπεδο διεπαφής OpenGL ES του Chromium, όπου ο ακατάλληλος έλεγχος ορίων επιτρέπει την καταστροφή της μνήμης. Μια κατασκευασμένη ιστοσελίδα μπορεί να επικαλεστεί το ελάττωμα κατά την απόδοση, παρακάμπτοντας τις προστασίες sandbox σε ορισμένα σενάρια.
Η Εθνική Βάση Δεδομένων Ευπάθειας (NVD) το αξιολογεί ως υψηλή σοβαρότητα, με πρώιμες αξιολογήσεις CVSS v3.1 να υποδεικνύουν κινδύνους απομακρυσμένης εκτέλεσης κώδικα.
| Αναγνωριστικό CVE | Περιγραφή | Βαθμολογία CVSS v3.1 | Εκδόσεις που επηρεάζονται | Επιδιορθωμένες εκδόσεις |
|---|---|---|---|---|
| CVE-2025-14174 | Πρόσβαση εκτός ορίων μνήμης σε ANGLE μέσω HTML | 8,8 (Υψηλό) | Χρώμιο | Chrome 131.0.6778.201+ Edge 131.0.3139.95+ |
Δεν έχουν εμφανιστεί δημόσιοι δείκτες συμβιβασμού (IoCs), αλλά οι παράγοντες απειλών είναι πιθανό να τον αλυσιδώσουν με phishing ή κακόβουλη διαφήμιση.
Η CISA προτρέπει την άμεση επιδιόρθωση σύμφωνα με την δεσμευτική επιχειρησιακή οδηγία (BOD) 22-01 για ομοσπονδιακά συστήματα, ειδικά για υπηρεσίες cloud. Οι οργανισμοί θα πρέπει να κάνουν σάρωση για μη επιδιορθωμένα προγράμματα περιήγησης, να επιβάλλουν αυτόματες ενημερώσεις και να παρακολουθούν για ανώμαλα σφάλματα απόδοσης.
Η Google κυκλοφόρησε τις επιδιορθώσεις του Stable Channel στις 10 Δεκεμβρίου, μεταφέροντας το Chrome στην έκδοση 131.0.6778.201. Ο Microsoft Edge ακολούθησε με 131.0.3139.95, ενώ οι χρήστες Opera θα πρέπει να ελέγξουν τα κανάλια προμηθευτών. “Συνιστάται στους χρήστες να επανεκκινήσουν τα προγράμματα περιήγησης μετά την ενημέρωση”, δήλωσε η Google στις σημειώσεις έκδοσης της.
Αυτό το περιστατικό υπογραμμίζει την τεράστια επιφάνεια επίθεσης του Chromium, που επηρεάζει πάνω από το 70% των προγραμμάτων περιήγησης για υπολογιστές. Οι ομάδες ασφαλείας σε όλο τον κόσμο θα πρέπει να δώσουν προτεραιότητα στην αποκατάσταση εν μέσω αυξανόμενων εκμεταλλεύσεων μηδενικής ημέρας.
