Η Google έχει κυκλοφορήσει ενημερώσεις επείγουσας ασφάλειας για να επιδιορθώσει μια ευπάθεια υψηλής διαχώρισης στο πρόγραμμα περιήγησης Web Chrome που θα μπορούσε να οδηγήσει σε πλήρη εξαγορά λογαριασμών μετά την επιτυχή εκμετάλλευση.
Παρόλο που δεν είναι σαφές εάν αυτό το ελάττωμα ασφαλείας έχει χρησιμοποιηθεί σε επιθέσεις, η εταιρεία προειδοποίησε ότι έχει δημόσια εκμετάλλευση, το οποίο συνήθως υπονοεί την ενεργό εκμετάλλευση.
“Η Google γνωρίζει τις αναφορές ότι υπάρχει μια εκμετάλλευση για το CVE-2025-4664 στην άγρια φύση”. Είπε η Google Σε συμβουλευτική ασφάλεια της Τετάρτης.
Η ευπάθεια ανακαλύφθηκε από τον ερευνητή ασφαλείας SolidLab Vsevolod Kokorin και είναι περιγράφεται Ως ανεπαρκής επιβολή πολιτικής στο στοιχείο φορτωτή του Google Chrome που επιτρέπει στους απομακρυσμένους επιτιθέμενους να διαρρέουν δεδομένα διασταυρούμενης προέλευσης μέσω κακοποιημένων κατασκευασμένων σελίδων HTML.
“Πιθανότατα γνωρίζετε ότι σε αντίθεση με άλλα προγράμματα περιήγησης, το Chrome επιλύει την κεφαλίδα του συνδέσμου σε αιτήματα Subresource, αλλά ποιο είναι το πρόβλημα; Εξήγησε ο Kokorin.
“Οι παράμετροι ερωτήματος μπορούν να περιέχουν ευαίσθητα δεδομένα – για παράδειγμα, στις ροές OAuth, αυτό μπορεί να οδηγήσει σε εξαγορά λογαριασμών.
Η Google διορθώνει το ελάττωμα για τους χρήστες στο σταθερό κανάλι επιφάνειας εργασίας, με patched εκδόσεις (136.0.7103.113 για Windows/Linux και 136.0.7103.114 για MACOS) που κυκλοφορεί στους χρήστες παγκοσμίως.
Παρόλο που η εταιρεία αναφέρει ότι οι ενημερώσεις ασφαλείας θα κυκλοφορήσουν τις επόμενες ημέρες και εβδομάδες, ήταν άμεσα διαθέσιμες όταν ο BleepingComputer checked για ενημερώσεις.
Οι χρήστες που δεν θέλουν να ενημερώσουν το Chrome με το χέρι μπορούν επίσης να αφήσουν το πρόγραμμα περιήγησης να ελέγξει αυτόματα για νέες ενημερώσεις και να τις εγκαταστήσει μετά την επόμενη εκτόξευση.
Τον Μάρτιο, η Google καθόρισε επίσης ένα σφάλμα μηδενικής ημέρας υψηλής διατροφής (CVE-2025-2783), το οποίο κακοποιήθηκε για την ανάπτυξη κακόβουλου λογισμικού σε επιθέσεις κατασκοπείας που στοχεύουν στις ρωσικές κυβερνητικές οργανώσεις, στα μέσα μαζικής ενημέρωσης και στα εκπαιδευτικά ιδρύματα.
Οι ερευνητές της Kaspersky που ανακάλυψαν την ενεργό εκμεταλλεύονται μηδενική ημέρα δήλωσαν ότι οι επιτιθέμενοι χρησιμοποιούν CVE-2025-2783 εκμεταλλεύονται για να παρακάμψουν τις προστασίες του Chrome Sandbox και τους μολυσματικούς στόχους με κακόβουλο λογισμικό.
Πέρυσι, η Google Patched 10 μηδενικές ημέρες αποκαλύφθηκε κατά τη διάρκεια του διαγωνισμού Hacking Pwn2own ή εκμεταλλεύτηκε σε επιθέσεις.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
