Την Πέμπτη, η CISA προειδοποίησε τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να εξασφαλίσουν τα συστήματά τους ενάντια στις συνεχιζόμενες επιθέσεις που εκμεταλλεύονται μια ευπάθεια υψηλής διαχώσης στο πρόγραμμα περιήγησης Chrome Web.
Ο ερευνητής ασφαλείας SolidLab Vsevolod Kokorin ανακάλυψε το ελάττωμα (CVE-2025-4664) και κοινά τεχνικά στοιχεία online στις 5 Μαΐου. Η Google κυκλοφόρησε ενημερώσεις ασφαλείας για να το διορθώσει την Τετάρτη.
Όπως εξήγησε ο Kokorin, η ευπάθεια είναι οφειλόμενος Για την ανεπαρκή επιβολή της πολιτικής στο στοιχείο του φορτωτή του Google Chrome και η επιτυχής εκμετάλλευση μπορεί να επιτρέψει στους απομακρυσμένους επιτιθέμενους να διαρρεύσουν δεδομένα διασταυρούμενης προέλευσης μέσω κακοποιημένων σελίδων HTML.
“Πιθανότατα γνωρίζετε ότι σε αντίθεση με άλλα προγράμματα περιήγησης, το Chrome επιλύει την κεφαλίδα του συνδέσμου σε αιτήματα Subresource, αλλά ποιο είναι το πρόβλημα; Ο Kokorin σημείωσε.
“Οι παράμετροι ερωτήματος μπορούν να περιέχουν ευαίσθητα δεδομένα – για παράδειγμα, στις ροές OAuth, αυτό μπορεί να οδηγήσει σε εξαγορά λογαριασμών.
Ενώ η Google δεν αποκάλυψε εάν η ευπάθεια είχε προηγουμένως κακοποιηθεί σε επιθέσεις ή αν εξακολουθεί να εκμεταλλεύεται, προειδοποίησε σε μια συμβουλευτική ασφάλεια ότι έχει δημόσια εκμετάλλευση, που συνήθως υπονοεί την ενεργό εκμετάλλευση.
Επισημάνθηκε ως ενεργά εκμεταλλεύτηκε
Μια μέρα αργότερα, Η CISA επιβεβαίωσε Το CVE-2025-4664 κακοποιείται στην άγρια φύση και το προσθέτει στο Γνωστή εκμετάλλευση τρωτών σημείων καταλόγουη οποία απαριθμεί ελαττώματα ασφαλείας που εκμεταλλεύονται ενεργά σε επιθέσεις.
Όπως αναφέρεται από την Οδηγία Επιχειρησιακής Οδηγίας (BOD) 22-01 του Νοεμβρίου του 2021, οι οργανισμοί των Ομοσπονδιακών Πολιτικών Εκτελεστικών Υποκατάστημα των ΗΠΑ (FCEB) πρέπει να διορθώσουν την εγκατάστασή τους στο Chrome εντός τριών εβδομάδων, μέχρι τις 7 Μαΐου, για να εξασφαλίσουν τα συστήματά τους από πιθανές παραβιάσεις.
Ενώ αυτή η οδηγία ισχύει μόνο για ομοσπονδιακές υπηρεσίες, όλοι οι υπερασπιστές του δικτύου συμβουλεύονται να δώσουν προτεραιότητα στην επιδιόρθωση αυτής της ευπάθειας το συντομότερο δυνατό.
“Αυτοί οι τύποι τρωτών σημείων είναι συχνές φορείς επίθεσης για κακόβουλους κυβερνοχώρους και δημιουργούν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση”, προειδοποίησε ο Οργανισμός Κυβερνοχώρου.
Αυτή είναι η δεύτερη ενεργά εκμεταλλευόμενη το Chrome Zero-Day Patched από την Google φέτος, μετά από ένα άλλο σφάλμα μηδενικής ημέρας High-Severity Chrome (CVE-2025-2783), το οποίο καταχραστεί για να στοχεύσει τις ρωσικές κυβερνητικές οργανώσεις, τα μέσα μαζικής ενημέρωσης και τα εκπαιδευτικά ιδρύματα σε επιθέσεις του κυβερνοχώρου-εκπόνησης.
Οι ερευνητές της Kaspersky που είδαν τις επιθέσεις μηδενικής ημέρας δήλωσαν ότι οι απειλές που χρησιμοποιούν το CVE-2025-2783 εκμεταλλεύονται για να παρακάμψουν τις προστασίες sandbox της Google Chrome και τους μολυσματικούς στόχους με κακόβουλο λογισμικό.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
