Użytkownicy przeglądarki Google Chrome powinni być świadomi niebezpiecznej luki typu zero-day.

Lỗ hổng zero-day nguy hiểm trên Google Chrome, người dùng chú ý - Ảnh 1. — Dwie krytyczne luki typu zero-day w przeglądarce Chrome.

Firma Google właśnie wydała awaryjną aktualizację przeglądarki Chrome, która usuwa dwie krytyczne luki w zabezpieczeniach, w tym lukę typu zero-day, aktywnie wykorzystywaną przez hakerów.

Eksperci ds. cyberbezpieczeństwa ostrzegają, że miliardy użytkowników na całym świecie mogą być narażone na wyciek poufnych danych, w tym tokenów sesji, plików cookie i danych logowania.

Dwie poważne luki: faktyczne wykorzystanie luk i wyciek danych.

Pierwsza luka, zidentyfikowana jako CVE-2025-5419 , pojawiła się w silniku V8 – procesorze JavaScript i WebAssembly przeglądarki Chrome.

Według oficjalnego komunikatu firmy Google, luka ta umożliwia atakującym wykonywanie operacji odczytu i zapisu poza przydzielonym obszarem pamięci, co otwiera drogę do zdalnego wykonania kodu.

W rzeczywistości, po prostu uzyskując dostęp do strony internetowej zawierającej kod exploita, hakerzy mogą przejąć kontrolę nad przeglądarką lub urządzeniem. Google potwierdziło, że ta luka została wykorzystana, zanim została ujawniona publicznie, co czyni ją jednym z najbardziej niepokojących zagrożeń cyberbezpieczeństwa w pierwszej połowie tego roku.

Druga luka, CVE-2025-4664 , dotyczy sposobu, w jaki przeglądarki obsługują nagłówki HTTP i zasady dotyczące refererów podczas ładowania zasobów pomocniczych. Według badaczy, hakerzy mogą wykorzystać tę lukę do gromadzenia poufnych informacji za pośrednictwem adresów URL, w tym tokenów dostępu OAuth, identyfikatorów sesji i parametrów zawierających dane prywatne.

Co gorsza, ten mechanizm ataku może zostać przeprowadzony w sposób dyskretny i nie wymagać od użytkownika żadnej czynności poza wejściem na stronę internetową zainfekowaną złośliwym oprogramowaniem.

Globalny alert i odpowiedź Google

Google - Ảnh 2. — Odpowiedź Google po incydencie.

Natychmiast po odkryciu luk firma Google wydała odpowiednie aktualizacje zabezpieczeń: wersję 137.0.7151.68/.69 dla systemów Windows, Linux i macOS w celu załatania luki CVE-2025-5419 oraz wersję 136.0.7103.113/.114 w celu usunięcia luki CVE-2025-4664.

Agencje zajmujące się bezpieczeństwem cybernetycznym, takie jak amerykańska CISA i indyjski CERT-In, wydały pilne ostrzeżenia, apelując do użytkowników i organizacji o natychmiastową aktualizację przeglądarek Chrome, aby uniknąć stania się ofiarą ataków.

Ryzyko dla użytkowników indywidualnych i przedsiębiorstw

Eksperci ds. bezpieczeństwa uważają, że obie luki mogą zostać wykorzystane do kradzieży danych osobowych, przejęcia kontroli nad przeglądarkami, a nawet umożliwienia ataków na większą skalę, takich jak instalacja złośliwego oprogramowania, szpiegostwo lub szyfrowanie za pomocą oprogramowania wymuszającego okup.

Ponieważ czas potrzebny na wykorzystanie luk w zabezpieczeniach jest coraz krótszy – z kilku dni do zaledwie kilku godzin po ujawnieniu informacji – kluczowe znaczenie ma terminowa aktualizacja oprogramowania.

Co więcej, ponieważ luka jest wykorzystywana niemal natychmiast po jej wykryciu , atakujący mogą udostępnić złośliwe oprogramowanie w ciągu kilku godzin, wywierając ogromną presję na systemy, które nie miały czasu na aktualizację.

Sposoby zapobiegania i ochrony danych

Lỗ hổng zero-day nguy hiểm trên Google Chrome, người dùng chú ý - Ảnh 3. — Miliardy użytkowników Chrome muszą natychmiast dokonać aktualizacji.

Użytkownikom indywidualnym zaleca się przejście do sekcji „O Google Chrome” w menu pomocy, aby sprawdzić wersję i natychmiast zaktualizować przeglądarkę (przejdź do Menu > Pomoc > O Google Chrome). Po aktualizacji należy ponownie uruchomić przeglądarkę, aby upewnić się, że poprawka została zastosowana.

Jednocześnie użytkownicy powinni unikać klikania podejrzanych linków, zwłaszcza w wiadomościach e-mail, mediach społecznościowych lub na niepewnych stronach internetowych.

Aby zminimalizować ryzyko, zaleca się również korzystanie z oprogramowania zabezpieczającego, filtrów adresów URL i innych narzędzi do bezpiecznego przeglądania stron internetowych.

Dla firm i organizacji, które muszą wdrażać automatyczne aktualizacje przeglądarki Chrome na wszystkich urządzeniach w swojej sieci, monitorować aktywność dostępu do sieci w celu wykrywania nieprawidłowości oraz wewnętrznie powiadamiać pracowników o potencjalnych wyciekach danych.

Zautomatyzowane narzędzia do monitorowania bezpieczeństwa, takie jak Wazuh lub rozwiązania typu sandbox, można również wykorzystać do wykrywania ataków mających na celu wykorzystanie luk w zabezpieczeniach.

Niedawno ujawnione luki w zabezpieczeniach pokazują, że nie można lekceważyć kwestii bezpieczeństwa przeglądarek, zwłaszcza że Chrome jest obecnie najpopularniejszą platformą na świecie .

Chociaż Google szybko zareagowało, wprowadzając poprawki, odpowiedzialność za ochronę użytkowników końcowych ostatecznie spoczywa na nich. W erze cyfrowej terminowe aktualizacje oprogramowania i świadomość bezpieczeństwa danych osobowych stały się pierwszą i najważniejszą linią obrony.

PHAN HAI DANG

Źródło: https://tuoitre.vn/lo-hong-zero-day-nguy-hiem-บน-google-chrome-nguoi-dung-chu-y-20250610102157359.htm