Google je gurnuo ažuriranje za hitne slučajeve na široko korištene Kromirani preglednik Nakon što je identificirao aktivno iskorištenu ranjivost nultog dana u proizvodu, četvrti je do sada pronađen 2025. godine.
Praćeno kao CVE-2025-6554Opisana je kao mana za zbrku tipa u Google-razvijenom V8 JavaScript motoru koji sastavlja i izvršava JavaScript kod u preglednicima temeljenim na kromu.
Identificiran je Clément Lecigne grupe Google Analysis Group (Tag), a sljedeći dan je popravljen promjenom konfiguracije koja je do sada izbačena na stabilni kanal na svim platformama.
Ostao neprovjeren, SAD Nacionalna baza podataka o ranjivosti (NVD)-kojim upravlja Nacionalni institut za standarde i tehnologiju (NIST)-rekao je da je ranjivost visoke ozbiljnosti mogla omogućiti udaljenim napadačima da izvršavaju proizvoljne akcije čitanja ili pisanja putem posebno izrađene HTML stranice.
Prema lainovim uvjetima, to znači da su ranjivi kromirani korisnici namamljeni u posjet web mjestu pod kontrolom napadača mogu biti izloženi napadima u kojima akteri prijetnji instaliraju zlonamjerni softver, uključujući špijunski softver, na svoje uređaje ili poduzimaju druge zlonamjerne akcije poput zaobilaženja sigurnosnih ograničenja za provođenje dubljeg bočnog kretanja u njihovom okruženju ili pristupa i ukradenih podataka.
“Google je svjestan da u divljini postoji iskorištavanje za CVE-2025-6554”, rekao je Google u svojoj obavijesti o ažuriranju.
Međutim, s obzirom na to da će ažuriranje možda potrajati neko vrijeme da se filtrira na sve korisnike Chromea, Google nije pružio daljnje tehničke detalje problema izvan činjenice da se čini da se iskorištavanje koristi u cyber napadima. Imajte na umu da Google Tag često nadgleda i izvještava o cyber aktivnosti podržanoj državi, ali to nije nužno pokazatelj pripisivanja bilo kojem takvom prijetnji.
Korisnici Chromea mogu provjeriti je li njihov preglednik ažuriran ili ne tako da krenete do izbornika pomoći putem ikone s tri točke u gornjem desnom kutu prozora njihovog preglednika, a zatim klikom na Google Chrome. U većini slučajeva to bi trebalo automatski pokrenuti ažuriranje ako još nije primijenjeno.
Sadržaj objave
Koje su bube za zbrku?
Ranjivost za zbrku tipa nastaje kada program izrađuje netočnu pretpostavku o vrsti objektnog resursa i pokušava ga pristupiti ili koristiti kao da je to pretpostavljeni tip. To izbacuje pogreške i nepoželjna ponašanja poput padova, korupcije podataka i pogrešnog pristupa memoriji, ili u ovom slučaju omogućava proizvoljnu izvršavanje koda.
Napadači mogu iskoristiti ove uvjete pisanjem specifičnog JavaScript koda kako bi pokrenuli pogrešne pretpostavke vrste unutar V8.
Ove pogreške imaju tendenciju da se pojavljuju u C i C ++ kodirajućim jezicima – Chrome i V8 napisani su u C ++ – što čine s mehanizmima o sigurnosti memorije, Ali prema Sokradaru, viđeni su i u PHP i Perl kodu.
Osim web preglednika kao što su Chrome, Firefox ili Safari, oni se mogu pojaviti i kod čitača PDF -a, ostalih JavaScript motora, osim V8 ili komponenti operativnog sustava.
Programeri mogu izbjeći unošenje manjki za zbrku tipa u svoj softver provodeći odgovarajuću provjeru tipa na sastavljanju i vremenu izvođenja, koristeći jezike sigurnih memorije, ako je moguće, implementirajući provjere provjere tipa izvođenja, provođenje pregleda koda koji se usredotočuju na lijevanje tipa i koristeći statičke alate za analizu za otkrivanje potencijalnih problema.
Povezani sadržaji
- Što korisnici WordPressa trebaju znati o sukobu Automattic i WP Engine
Vaš skok s Windows 10 na Linux postaje lakše s KDE plazmom 6.4
UK klase Action postavlja fazu za Google Showdown
Testirao sam svaki model iPhone 17 i ovaj put preporučujem nešto drugačije
Pixel, Android Team Googlers ponudio je “program dobrovoljnog izlaza”
Xbox Alpha Update podučava lekciju o stvaranju ažuriranja ranog dodavanja
