פגיעות מסוכנת של יום אפס בגוגל כרום; על המשתמשים להיות מודעים לכך.

Lỗ hổng zero-day nguy hiểm trên Google Chrome, người dùng chú ý - Ảnh 1. — שתי פגיעויות קריטיות של יום אפס בכרום.

גוגל פרסמה זה עתה עדכון חירום לדפדפן כרום כדי לתקן שתי פגיעויות אבטחה קריטיות, כולל פגיעות "יום אפס" שמנוצלת באופן פעיל על ידי האקרים.

מומחי אבטחת סייבר מזהירים כי מיליארדי משתמשים ברחבי העולם עלולים להיות בסיכון לדליפות מידע רגיש, כולל אסימוני סשן, קובצי Cookie ופרטי התחברות.

שתי פגיעויות חמורות: ניצול בפועל ודליפת נתונים.

הפגיעות הראשונה, שזוהתה כ- CVE-2025-5419 , הופיעה במנוע V8 - מעבד ה-JavaScript וה-WebAssembly של כרום.

על פי הודעה רשמית של גוגל, פגיעות זו מאפשרת לתוקפים לבצע פעולות קריאה וכתיבה מעבר לאזור הזיכרון שהוקצה, ובכך פותחת את הדלת להרצת קוד מרחוק.

למעשה, פשוט על ידי גישה לאתר אינטרנט המכיל את קוד הניצול, האקרים יכולים להשתלט על הדפדפן או המכשיר שלהם. גוגל אישרה כי פגיעות זו נוצלה עוד לפני שנחשפה בפומבי, מה שהופך אותה לאחד מאיומי הסייבר המדאיגים ביותר במחצית הראשונה של השנה.

הפגיעות השנייה, CVE-2025-4664 , קשורה לאופן שבו דפדפנים מטפלים בכותרות HTTP ובמדיניות הפניות בעת טעינת משאבי עזר. לדברי חוקרים, האקרים עלולים לנצל חולשה זו כדי לאסוף מידע רגיש באמצעות כתובות URL, כולל אסימוני גישה של OAuth, מזהי סשן ופרמטרים המכילים נתונים פרטיים.

מסוכן עוד יותר, מנגנון התקפה זה יכול להתרחש בשקט, מבלי לדרוש פעולה מצד המשתמש מלבד גישה לאתר אינטרנט נגוע בתוכנה זדונית.

התראה עולמית ותגובת גוגל

Google - Ảnh 2. — תגובת גוגל לאחר התקרית.

מיד לאחר גילוי הפגיעויות, גוגל פרסמה עדכוני אבטחה מתאימים: גרסה 137.0.7151.68/.69 עבור Windows, Linux ו-macOS לתיקון CVE-2025-5419, וגרסה 136.0.7103.113/.114 לתיקון CVE-2025-4664.

סוכנויות אבטחת סייבר כמו CISA האמריקאית ו-CERT-In ההודית פרסמו אזהרות דחופות, וקראו למשתמשים ולארגונים לעדכן את דפדפני כרום שלהם באופן מיידי כדי להימנע מלהפוך לקורבנות של התקפות מתמשכות.

סיכונים למשתמשים פרטיים ולעסקים

מומחי אבטחה מאמינים כי שתי הפגיעויות עלולות להיות מנוצלות כדי לגנוב מידע אישי, להשיג שליטה בדפדפנים ואף לסלול את הדרך להתקפות בקנה מידה גדול יותר כמו התקנת תוכנות זדוניות, ריגול או הצפנת תוכנות כופר.

עם הזמן שלוקח לנצל פגיעויות הולך ומצטמצם, מימים לשעות ספורות לאחר פרסום מידע, עדכוני תוכנה בזמן הם קריטיים.

יתר על כן, כאשר הפגיעות מנוצלת כמעט מיד לאחר גילויה , תוקפים יכולים לשחרר תוכנות זדוניות תוך שעות, מה שמפעיל לחץ עצום על מערכות שלא היה להן זמן לעדכן.

דרכים למניעה והגנה על נתונים

Lỗ hổng zero-day nguy hiểm trên Google Chrome, người dùng chú ý - Ảnh 3. — מיליארדי משתמשי כרום צריכים לעדכן באופן מיידי.

עבור משתמשים פרטיים, העצה היא לגשת לקטע "אודות גוגל כרום" בתפריט העזרה כדי לבדוק את הגרסה ולעדכן את הדפדפן באופן מיידי (עבור אל תפריט > עזרה > אודות גוגל כרום). לאחר העדכון, עליך להפעיל מחדש את הדפדפן כדי לוודא שהתיקון מוחל.

במקביל, על המשתמשים להימנע מלחיצה על קישורים חשודים, במיוחד ממיילים, מדיה חברתית או אתרים לא אמינים.

מומלץ גם להשתמש בתוכנות אבטחה, מסנני כתובות URL או כלי גלישה בטוחים אחרים כדי למזער סיכונים.

עבור עסקים וארגונים שצריכים לפרוס עדכוני Chrome אוטומטיים בכל המכשירים ברשת שלהם, ניטור פעילות גישה לרשת כדי לזהות אנומליות, והתראות פנימיות לעובדים על דליפות נתונים פוטנציאליות.

כלי ניטור אבטחה אוטומטיים כמו Wazuh או פתרונות sandbox יכולים לשמש גם הם כדי לזהות פרצות המשמשות לניצול פגיעויות.

הפגיעויות שנחשפו לאחרונה מדגימות כי לא ניתן להתייחס בקלות ראש לאבטחת הדפדפן, במיוחד מאחר שכרום היא כיום הפלטפורמה הפופולרית ביותר בעולם .

למרות שגוגל הגיבה במהירות עם תיקונים, האחריות להגנה על משתמשי הקצה מוטלת בסופו של דבר עליהם. בעידן הדיגיטלי, עדכוני תוכנה בזמן ומודעות לאבטחת מידע אישי הפכו לקו ההגנה הראשון והחשוב ביותר.

פאן היי דאנג

מקור: https://tuoitre.vn/lo-hong-zero-day-nguy-hiem-บน-google-chrome-nguoi-dung-chu-y-20250610102157359.htm