Mivel az aktív támadások már folyamatban vannak, a Google vészhelyzeti biztonsági frissítést adott ki a Chrome-hoz, hogy javítsa a V8-as JavaScript-motor kritikus nulladik napi sebezhetőségét. A CVE-2025-13223 néven nyomon követett súlyos hiba lehetővé teszi a távoli támadók számára, hogy rosszindulatú kódokat hajtsanak végre a javítatlan rendszerek halomkorrupciójának kihasználásával.
A Google Threat Analysis Group által felfedezett sérülékenység a böngésző asztali verzióit érinti, Windows és macOS operációs rendszeren egyaránt. A Google arra kéri 2 milliárd felhasználóját, hogy azonnal telepítsék a 142.0.7444.175-ös verziót a fenyegetés mérséklése érdekében.
A nulladik napi fenyegetés
A helyzet súlyosságát megerősítve a Google elismerte, hogy „a CVE-2025-13 kizsákmányolása létezik a vadonban”. Ez a beismerés a CVE-2025-13223ot a nulladik napi sebezhetőségek veszélyes kategóriájába sorolja, ami azt jelenti, hogy a fenyegető szereplők, akik felfedezték és felfegyverezték a hibát, . src=”https://winbuzzer.com/wp-content/uploads/2024/01/Featured-How-to-See-Passwords-in-Chrome.jpg”>
Technikailag a probléma a V8 JavaScript-motorban van, amely a Chrome-ban és más Chromium-alapú böngészőkben a JavaScript-kód feldolgozásáért felelős nyílt forráskódú összetevő. href=”https://nvd.nist.gov/vuln/detail/CVE-2025-13223″target=”_blank”>A Nemzeti Sebezhetőségi Adatbázis (NIST) szerint „Type Confusion in V8 in Google Chrome before 142.0.7444.175 lehetővé tette, hogy egy távoli HTML-támadó megsérüljön egy exploit oldalon.” A motor objektumtípusok kezelésének manipulálásával a támadók megrongálhatják a halom memóriáját, ami a böngésző összeomlásához vezethet, vagy ami még kritikusabb, tetszőleges kód futtatásához vezethet a böngésző biztonsági homokozóján kívül. Köszönet az aktív, a Google által elemzett csoport nulladik napjának nyomon követő csapatának azonosításáért. kormány által támogatott hackelés és súlyos kiberbűnözési műveletek. A november 12-i jelentésük a héten kiadott javítás gyors fejlesztését váltotta ki. A nulladik napi javítás mellett a frissítés egy második súlyos sebezhetőséget is kiküszöböl, a 5a-1-30>20. A kihasznált hibától eltérően ezt a hibát a „Google Big Sleep”, egy mesterséges intelligencia által támogatott sebezhetőségi kutatási projekt belül találta meg. Az október 9-én felfedezett felfedezés rávilágít a mesterséges intelligencia növekvő hasznára a megelőző biztonsági auditálásban. Míg a TAG emberi elemzői továbbra is kritikus fontosságúak az aktív fenyegetések észlelésében, az olyan automatizált rendszerek, mint a Big Sleep, elengedhetetlenek az összetett memóriabiztonsági problémák azonosításához, mielőtt azokat a támadók kihasználhatnák. E kockázatok kezelése érdekében a stabil csatornát a Mac 142.1.7 és 754/44.7 és 7-es verziójára frissítették. 142.0.7444.175 Linux esetén. A felhasználók ellenőrizhetik a telepítést az „About Google Chrome” menüben, amely automatikusan megkeresi és letölti a legújabb verziót. Kiemelve a széles körű alkalmazás szükségességét a teljes nyilvánosságra hozatal előtt, a Google kijelentette: „A programhiba részleteihez és hivatkozásokhoz való hozzáférést korlátozni lehet, amíg a felhasználók többsége nem frissíti a kézi frissítést a gyakran.” Ha az automatikus javítás engedélyezve van, a CVE-2025-13223 aktív kihasználása az azonnali ellenőrzést körültekintővé teszi. A vállalati adminisztrátoroknak előnyben kell részesíteniük ezt a telepítést a felügyelt flották között, mivel a V8-as motor gyakori célpontja a kifinomult támadásoknak. Lényeges, hogy a védelem csak a böngésző újraindítása után aktív; ha egyszerűen letölti a frissítést a háttérben, a biztonsági rés láthatóvá válik minden nyitott lapon vagy ablakban.Felfedezés és mesterséges intelligencia védelem
Kiterjesztés és mérséklés
