Δύο κρίσιμα τρωτά σημεία zero-day στο Chrome.
Η Google μόλις κυκλοφόρησε μια επείγουσα ενημέρωση για το πρόγραμμα περιήγησης Chrome για να διορθώσει δύο κρίσιμα τρωτά σημεία ασφαλείας, συμπεριλαμβανομένης μιας ευπάθειας zero-day που εκμεταλλεύονται ενεργά οι χάκερ.
Οι ειδικοί στον τομέα της κυβερνοασφάλειας προειδοποιούν ότι δισεκατομμύρια χρήστες παγκοσμίως ενδέχεται να διατρέχουν κίνδυνο διαρροής ευαίσθητων δεδομένων, συμπεριλαμβανομένων των διακριτικών συνεδρίας, των cookies και των πληροφοριών σύνδεσης.
Δύο σοβαρές ευπάθειες: Πραγματική εκμετάλλευση και διαρροή δεδομένων.
Η πρώτη ευπάθεια, που αναγνωρίστηκε ως CVE-2025-5419 , εμφανίστηκε στη μηχανή V8 – τον επεξεργαστή JavaScript και WebAssembly του Chrome.
Σύμφωνα με επίσημη ανακοίνωση της Google, αυτό το θέμα ευπάθειας επιτρέπει στους εισβολείς να εκτελούν λειτουργίες ανάγνωσης και εγγραφής πέρα από την εκχωρημένη περιοχή μνήμης, ανοίγοντας την πόρτα στην απομακρυσμένη εκτέλεση κώδικα.
Στην πραγματικότητα, απλώς με την πρόσβαση σε έναν ιστότοπο που περιέχει τον κώδικα εκμετάλλευσης, οι χάκερ μπορούν να αποκτήσουν τον έλεγχο του προγράμματος περιήγησης ή της συσκευής τους. Η Google επιβεβαίωσε ότι αυτό το κενό ασφαλείας είχε αξιοποιηθεί πριν δημοσιοποιηθεί, καθιστώντας το μία από τις πιο ανησυχητικές απειλές για την κυβερνοασφάλεια κατά το πρώτο εξάμηνο του τρέχοντος έτους.
Η δεύτερη ευπάθεια, CVE-2025-4664 , σχετίζεται με τον τρόπο με τον οποίο τα προγράμματα περιήγησης χειρίζονται τις κεφαλίδες HTTP και την πολιτική παραπομπής κατά τη φόρτωση βοηθητικών πόρων. Σύμφωνα με τους ερευνητές, οι χάκερ θα μπορούσαν να εκμεταλλευτούν αυτήν την αδυναμία για να συλλέξουν ευαίσθητες πληροφορίες μέσω URL, συμπεριλαμβανομένων διακριτικών πρόσβασης OAuth, αναγνωριστικών περιόδου σύνδεσης και παραμέτρων που περιέχουν ιδιωτικά δεδομένα.
Ακόμα πιο επικίνδυνο είναι ότι αυτός ο μηχανισμός επίθεσης μπορεί να συμβεί σιωπηλά, χωρίς να απαιτείται καμία ενέργεια από τον χρήστη εκτός από την πρόσβαση σε έναν ιστότοπο που έχει μολυνθεί με κακόβουλο λογισμικό.
Παγκόσμια προειδοποίηση και η αντίδραση της Google
Η αντίδραση της Google μετά το περιστατικό.
Αμέσως μετά την ανακάλυψη των ευπαθειών, η Google κυκλοφόρησε τις αντίστοιχες ενημερώσεις ασφαλείας: την έκδοση 137.0.7151.68/.69 για Windows, Linux και macOS για την ενημέρωση κώδικα του CVE-2025-5419 και την έκδοση 136.0.7103.113/.114 για την επιδιόρθωση του CVE-2025-4664.
Οργανισμοί κυβερνοασφάλειας, όπως η CISA των ΗΠΑ και η CERT-In της Ινδίας, εξέδωσαν επείγουσες προειδοποιήσεις, προτρέποντας τους χρήστες και τους οργανισμούς να ενημερώσουν αμέσως τα προγράμματα περιήγησης Chrome για να αποφύγουν να πέσουν θύματα συνεχιζόμενων επιθέσεων.
Κίνδυνοι για μεμονωμένους χρήστες και επιχειρήσεις
Οι ειδικοί ασφαλείας πιστεύουν ότι και τα δύο τρωτά σημεία θα μπορούσαν να αξιοποιηθούν για την κλοπή προσωπικών πληροφοριών, την απόκτηση ελέγχου των προγραμμάτων περιήγησης, ακόμη και για την προετοιμασία επιθέσεων μεγαλύτερης κλίμακας, όπως η εγκατάσταση κακόβουλου λογισμικού, η κατασκοπεία ή η κρυπτογράφηση ransomware.
Καθώς ο χρόνος που απαιτείται για την αξιοποίηση των τρωτών σημείων συρρικνώνεται, από ημέρες έως λίγες ώρες μετά την κυκλοφορία των πληροφοριών, οι έγκαιρες ενημερώσεις λογισμικού είναι ζωτικής σημασίας.
Επιπλέον, καθώς η ευπάθεια αξιοποιείται σχεδόν αμέσως μετά την ανακάλυψη , οι εισβολείς μπορούν να απελευθερώσουν κακόβουλο λογισμικό μέσα σε λίγες ώρες, ασκώντας τεράστια πίεση σε συστήματα που δεν είχαν χρόνο να ενημερωθούν.
Τρόποι πρόληψης και προστασίας δεδομένων
Δισεκατομμύρια χρήστες του Chrome πρέπει να κάνουν άμεση ενημέρωση.
Για μεμονωμένους χρήστες, η συμβουλή είναι να αποκτήσουν πρόσβαση στην ενότητα "Σχετικά με το Google Chrome" στο μενού βοήθειας για να ελέγξουν την έκδοση και να ενημερώσουν αμέσως το πρόγραμμα περιήγησης (Μεταβείτε στο Μενού > Βοήθεια > Σχετικά με το Google Chrome). Μετά την ενημέρωση, πρέπει να επανεκκινήσετε το πρόγραμμα περιήγησης για να βεβαιωθείτε ότι έχει εφαρμοστεί η ενημέρωση κώδικα.
Ταυτόχρονα, οι χρήστες θα πρέπει να αποφεύγουν να κάνουν κλικ σε ύποπτους συνδέσμους, ειδικά από email, μέσα κοινωνικής δικτύωσης ή αναξιόπιστους ιστότοπους.
Συνιστάται επίσης η χρήση λογισμικού ασφαλείας, φίλτρων URL ή άλλων εργαλείων ασφαλούς περιήγησης για την ελαχιστοποίηση των κινδύνων.
Για επιχειρήσεις και οργανισμούς που χρειάζεται να αναπτύξουν αυτόματες ενημερώσεις Chrome σε όλες τις συσκευές του δικτύου τους, παρακολουθήστε τη δραστηριότητα πρόσβασης στο δίκτυο για να εντοπίσετε ανωμαλίες και ειδοποιήστε εσωτερικά τους υπαλλήλους σχετικά με πιθανές διαρροές δεδομένων.
Τα αυτοματοποιημένα εργαλεία παρακολούθησης ασφάλειας όπως το Wazuh ή οι λύσεις sandbox μπορούν επίσης να χρησιμοποιηθούν για την ανίχνευση exploits που χρησιμοποιούνται για την εκμετάλλευση τρωτών σημείων.
Τα πρόσφατα αποκαλυφθέντα τρωτά σημεία καταδεικνύουν ότι η ασφάλεια του προγράμματος περιήγησης δεν μπορεί να λαμβάνεται αψήφιστα, ειδικά επειδή το Chrome είναι αυτήν τη στιγμή η πιο δημοφιλής πλατφόρμα στον κόσμο .
Παρόλο που η Google ανταποκρίθηκε γρήγορα με ενημερώσεις κώδικα (patches), η ευθύνη για την προστασία των τελικών χρηστών βαρύνει τελικά την ίδια. Στην ψηφιακή εποχή, οι έγκαιρες ενημερώσεις λογισμικού και η ευαισθητοποίηση σχετικά με την ασφάλεια των προσωπικών δεδομένων έχουν γίνει η πρώτη και πιο σημαντική γραμμή άμυνας.
Πηγή: https://tuoitre.vn/lo-hong-zero-day-nguy-hiem-บน-google-chrome-nguoi-dung-chu-y-20250610102157359.htm
![[Εικόνα] Το Κεντρικό Γραφείο του Κόμματος συνοψίζει το έργο του 2025](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F18%2F1766065572073_vptw-hoi-nghi-tong-ket-89-1204-jpg.webp&w=3840&q=75)
Σχόλιο (0)