Η Google κυκλοφόρησε μια ενημέρωση ασφαλείας έκτακτης ανάγκης για να διορθώσει την έβδομη ευπάθεια του Chrome zero-day που αξιοποιήθηκε σε επιθέσεις φέτος.
“Η Google γνωρίζει ότι μια εκμετάλλευση για το CVE-2025-13223 υπάρχει στη φύση”, προειδοποίησε ο γίγαντας αναζήτησης σε μια ασφάλεια συμβουλευτικόςδημοσιεύθηκε τη Δευτέρα.
Αυτή η ευπάθεια υψηλής σοβαρότητας προκαλείται από α σύγχυση τύπου αδυναμία στη μηχανή JavaScript V8 του Chrome, που αναφέρθηκε την περασμένη εβδομάδα από τον Clement Lecigne της Ομάδας Ανάλυσης Απειλές της Google. Το Google TAG επισημαίνει συχνά εκμεταλλεύσεις μηδενικής ημέρας από ομάδες απειλών που χρηματοδοτούνται από την κυβέρνηση σε εκστρατείες spyware που στοχεύουν άτομα υψηλού κινδύνου, συμπεριλαμβανομένων δημοσιογράφων, πολιτικών της αντιπολίτευσης και αντιφρονούντων.
Η Google διόρθωσε το ελάττωμα zero-day με την κυκλοφορία του 142.0.7444.175/.176 για Windows, 142.0.7444.176 για Mac και 142.0.7444.175 για Linux.
Ενώ αυτές οι νέες εκδόσεις έχουν προγραμματιστεί να κυκλοφορήσουν σε όλους τους χρήστες στο κανάλι Stable Desktop τις επόμενες εβδομάδες, η ενημέρωση κώδικα ήταν αμέσως διαθέσιμη όταν το BleepingComputer έλεγξε για τις πιο πρόσφατες ενημερώσεις.
Αν και το πρόγραμμα περιήγησης ιστού Chrome ενημερώνεται αυτόματα όταν υπάρχουν διαθέσιμες ενημερώσεις κώδικα ασφαλείας, οι χρήστες μπορούν επίσης να επιβεβαιώσουν ότι εκτελούν την πιο πρόσφατη έκδοση μεταβαίνοντας στο μενού Chrome > Βοήθεια > Σχετικά με το Google Chrome, αφήνοντας την ενημέρωση να ολοκληρωθεί και, στη συνέχεια, κάνοντας κλικ στο κουμπί ‘Επανεκκίνηση’ για να την εγκαταστήσετε.
Μολονότι η Google έχει ήδη επιβεβαιώσει ότι το CVE-2025-13223 χρησιμοποιήθηκε σε επιθέσεις, πρέπει ακόμα να μοιραστεί πρόσθετες λεπτομέρειες σχετικά με την ενεργή εκμετάλλευση.
“Η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους μπορεί να παραμείνει περιορισμένη έως ότου η πλειοψηφία των χρηστών ενημερωθεί με μια επιδιόρθωση”, δήλωσε η Google. “Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται παρομοίως άλλα έργα, αλλά δεν έχουν ακόμη επιδιορθωθεί.”
Αυτή είναι η έβδομη μηδενική ημέρα του Chrome που αξιοποιείται σε επιθέσεις που διορθώθηκαν από την Google φέτος, με έξι ακόμη διορθώθηκαν τον Μάρτιο, τον Μάιο, τον Ιούνιο, τον Ιούλιο και τον Σεπτέμβριο.
Τον Σεπτέμβριο και τον Ιούλιο, αντιμετώπισε δύο ενεργά αξιοποιημένες zero-day (CVE-2025-10585 και CVE-2025-6558) που αναφέρθηκαν από ερευνητές του Google TAG.
Η Google κυκλοφόρησε πρόσθετες ενημερώσεις ασφαλείας έκτακτης ανάγκης τον Μάιο για να αντιμετωπίσει μια ευπάθεια μηδενικής ημέρας του Chrome (CVE-2025-4664) που επέτρεψε στους παράγοντες απειλών να παραβιάσουν λογαριασμούς. Οι ενημερώσεις διόρθωσαν επίσης ένα ελάττωμα ανάγνωσης και εγγραφής εκτός ορίων (CVE-2025-5419) στη μηχανή JavaScript V8 που ανακαλύφθηκε από την Google TAG τον Ιούνιο.
Τον Μάρτιο, η Google επιδιορθώθηκε επίσης ένα ελάττωμα διαφυγής sandbox υψηλής σοβαρότητας (CVE-2025-2783) που αναφέρθηκε από την Kaspersky, το οποίο αξιοποιήθηκε σε κατασκοπευτικές επιθέσεις εναντίον ρωσικών μέσων ενημέρωσης και κυβερνητικών οργανισμών.
Το 2024, η Google αντιμετώπισε 10 ακόμη σφάλματα zero-day που παρουσιάστηκαν κατά τη διάρκεια διαγωνισμών hacking Pwn2Own ή αξιοποιήθηκαν σε επιθέσεις.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
