Η Google έσπευσε να πραγματοποιήσει μια κρίσιμη ενημέρωση για το πρόγραμμα περιήγησής της Chrome για να αντιμετωπίσει μια ευπάθεια zero-day που εκμεταλλεύεται ενεργά στη φύση, προτρέποντας τους χρήστες να ενημερώσουν αμέσως για να μετριάσουν τον κίνδυνο που ενέχουν εξελιγμένοι εισβολείς.
Η ενημερωμένη έκδοση κώδικα, που κυκλοφόρησε στην έκδοση Chrome Stable 142.0.7444.175 για Windows και Linux και 142.0.7444.176 για Mac, διορθώνει δύο σφάλματα σύγχυσης τύπου υψηλής σοβαρότητας στη μηχανή JavaScript V8.
Το πιο ανησυχητικό είναι το CVE-2025-13223, που αναφέρθηκε στις 12 Νοεμβρίου 2025, από τον Clément Lecigne της Ομάδας Ανάλυσης Απειλών (TAG) της Google.
Η Google επιβεβαίωσε ότι κυκλοφορεί ήδη μια εκμετάλλευση για αυτό το ελάττωμα, επιτρέποντας δυνητικά σε απομακρυσμένους εισβολείς να εκτελούν αυθαίρετο κώδικα στα συστήματα των θυμάτων χωρίς αλληλεπίδραση.
Τα τρωτά σημεία σύγχυσης τύπων, ένα βασικό στοιχείο στα exploits του προγράμματος περιήγησης, εμφανίζονται όταν ο κινητήρας V8 ερμηνεύει εσφαλμένα τύπους δεδομένων, οδηγώντας σε καταστροφή της μνήμης. Αυτό μπορεί να επιτρέψει στους εισβολείς να παρακάμψουν τις προστασίες sandbox του Chrome, να κλέψουν ευαίσθητες πληροφορίες ή να εγκαταστήσουν κακόβουλο λογισμικό.
Η δεύτερη επιδιόρθωση, CVE-2025-13224, εντοπίστηκε νωρίτερα στις 9 Οκτωβρίου 2025, από το εσωτερικό εργαλείο Big Sleep fuzzing της Google, τονίζοντας τα προληπτικά αμυντικά στρώματα της εταιρείας. συμβουλευτικός.
Η συμμετοχή της TAG υποδηλώνει πιθανούς δεσμούς με προηγμένες επίμονες απειλές (APT), καθώς η ομάδα παρακολουθεί συχνά επιχειρήσεις που χρηματοδοτούνται από το κράτος χρησιμοποιώντας τέτοια ελαττώματα για κατασκοπεία ή επιθέσεις στην αλυσίδα εφοδιασμού.
Αυτό το περιστατικό υπογραμμίζει την κυριαρχία του Chrome ως στόχου, καθώς πάνω από το 65% των παγκόσμιων προγραμμάτων περιήγησης εκτελούν τη μηχανή, καθιστώντας τις έγκαιρες ενημερώσεις κώδικα απαραίτητες.
Η Google πιστώνει εργαλεία όπως το AddressSanitizer και το libFuzzer για έγκαιρη ανίχνευση, αλλά το χρονοδιάγραμμα ταχείας εκμετάλλευσης, από την αναφορά έως την άγρια χρήση σε λιγότερο από μια εβδομάδα, εγείρει ερωτήματα σχετικά με την απόδοση. Οι χρήστες θα πρέπει να ενεργοποιούν τις αυτόματες ενημερώσεις και να αποφεύγουν ύποπτους συνδέσμους.
