Kerentanan hari sifar yang berbahaya dalam Google Chrome; pengguna harus sedar.

Lỗ hổng zero-day nguy hiểm trên Google Chrome, người dùng chú ý - Ảnh 1. — Dua kerentanan hari sifar kritikal dalam Chrome.

Google baru sahaja mengeluarkan kemas kini kecemasan untuk pelayar Chrome bagi membetulkan dua kelemahan keselamatan kritikal, termasuk kelemahan zero-day yang sedang dieksploitasi secara aktif oleh penggodam.

Pakar keselamatan siber memberi amaran bahawa berbilion pengguna di seluruh dunia mungkin berisiko mengalami kebocoran data sensitif, termasuk token sesi, kuki dan maklumat log masuk.

Dua kelemahan serius: Eksploitasi sebenar dan kebocoran data.

Kerentanan pertama, yang dikenal pasti sebagai CVE-2025-5419 , muncul dalam Enjin V8 – pemproses JavaScript dan WebAssembly Chrome.

Menurut pengumuman rasmi daripada Google, kelemahan ini membolehkan penyerang melakukan operasi baca dan tulis di luar kawasan memori yang diperuntukkan, sekali gus membuka pintu kepada pelaksanaan kod jarak jauh.

Malah, hanya dengan mengakses laman web yang mengandungi kod eksploitasi, penggodam boleh mengawal pelayar atau peranti mereka. Google mengesahkan bahawa kelemahan ini telah dieksploitasi sebelum ia didedahkan kepada umum, menjadikannya salah satu ancaman keselamatan siber yang paling membimbangkan pada separuh pertama tahun ini.

Kerentanan kedua, CVE-2025-4664 , berkaitan dengan cara pelayar mengendalikan pengepala HTTP dan dasar perujuk semasa memuatkan sumber tambahan. Menurut penyelidik, penggodam boleh mengeksploitasi kelemahan ini untuk mengumpul maklumat sensitif melalui URL, termasuk token akses OAuth, ID sesi dan parameter yang mengandungi data peribadi.

Lebih berbahaya lagi, mekanisme serangan ini boleh berlaku secara senyap, tanpa memerlukan tindakan daripada pengguna selain mengakses laman web yang dijangkiti perisian hasad.

Amaran global dan respons Google

Google - Ảnh 2. — Respons Google selepas kejadian itu.

Sejurus selepas kerentanan ditemui, Google mengeluarkan kemas kini keselamatan yang sepadan: versi 137.0.7151.68/.69 untuk Windows, Linux dan macOS untuk menampal CVE-2025-5419 dan versi 136.0.7103.113/.114 untuk membetulkan CVE-2025-4664.

Agensi keselamatan siber seperti CISA AS dan CERT-In India telah mengeluarkan amaran segera, menggesa pengguna dan organisasi untuk mengemas kini pelayar Chrome mereka dengan segera bagi mengelakkan menjadi mangsa serangan berterusan.

Risiko untuk pengguna individu dan perniagaan

Pakar keselamatan percaya kedua-dua kelemahan itu boleh dieksploitasi untuk mencuri maklumat peribadi, mengawal pelayar web, malah membuka jalan untuk serangan berskala lebih besar seperti pemasangan perisian hasad, pengintipan atau penyulitan ransomware.

Dengan masa yang diperlukan untuk mengeksploitasi kerentanan semakin mengecil, dari beberapa hari hingga hanya beberapa jam selepas maklumat dikeluarkan, kemas kini perisian yang tepat pada masanya adalah penting.

Tambahan pula, dengan kerentanan yang dieksploitasi hampir serta-merta selepas penemuan , penyerang boleh melepaskan perisian hasad dalam beberapa jam, sekali gus memberi tekanan yang besar ke atas sistem yang tidak mempunyai masa untuk dikemas kini.

Cara-cara untuk mencegah dan melindungi data

Lỗ hổng zero-day nguy hiểm trên Google Chrome, người dùng chú ý - Ảnh 3. — Berbilion pengguna Chrome perlu mengemas kini dengan segera.

Bagi pengguna individu, nasihatnya adalah untuk mengakses bahagian "Perihal Google Chrome" dalam menu bantuan untuk menyemak versi dan mengemas kini pelayar dengan segera (Pergi ke Menu > Bantuan > Perihal Google Chrome). Selepas mengemas kini, anda perlu memulakan semula pelayar untuk memastikan tampalan telah digunakan.

Pada masa yang sama, pengguna harus mengelakkan daripada mengklik pautan yang mencurigakan, terutamanya daripada e-mel, media sosial atau laman web yang tidak boleh dipercayai.

Menggunakan perisian keselamatan, penapis URL atau alat penyemakan imbas selamat yang lain juga disyorkan untuk meminimumkan risiko.

Bagi perniagaan dan organisasi yang perlu menggunakan kemas kini Chrome automatik merentasi semua peranti pada rangkaian mereka, pantau aktiviti akses rangkaian untuk mengesan anomali dan maklumkan pekerja secara dalaman tentang potensi kebocoran data.

Alat pemantauan keselamatan automatik seperti Wazuh atau penyelesaian kotak pasir juga boleh digunakan untuk mengesan eksploitasi yang digunakan untuk mengeksploitasi kerentanan.

Kerentanan yang didedahkan baru-baru ini menunjukkan bahawa keselamatan pelayar web tidak boleh dipandang ringan, terutamanya memandangkan Chrome kini merupakan platform paling popular di dunia .

Walaupun Google telah bertindak balas dengan pantas dengan tampalan, tanggungjawab untuk melindungi pengguna akhir akhirnya terletak pada mereka. Dalam era digital, kemas kini perisian yang tepat pada masanya dan kesedaran tentang keselamatan data peribadi telah menjadi barisan pertahanan pertama dan terpenting.

PHAN HAI DANG

Sumber: https://tuoitre.vn/lo-hong-zero-day-nguy-hiem-บน-google-chrome-nguoi-dung-chu-y-20250610102157359.htm