Google je gurnuo ažuriranje za hitne slučajeve na široko korištene Kromirani preglednik Nakon što je identificirao aktivno iskorištenu ranjivost nultog dana u proizvodu, četvrti je do sada pronađen 2025. godine.
Praćeno kao CVE-2025-6554Opisana je kao mana za zbrku tipa u Google-razvijenom V8 JavaScript motoru koji sastavlja i izvršava JavaScript kod u preglednicima temeljenim na kromu.
Identificiran je Clément Lecigne grupe Google Analysis Group (Tag), a sljedeći dan je popravljen promjenom konfiguracije koja je do sada izbačena na stabilni kanal na svim platformama.
Ostao neprovjeren, SAD Nacionalna baza podataka o ranjivosti (NVD)-kojim upravlja Nacionalni institut za standarde i tehnologiju (NIST)-rekao je da je ranjivost visoke ozbiljnosti mogla omogućiti udaljenim napadačima da izvršavaju proizvoljne akcije čitanja ili pisanja putem posebno izrađene HTML stranice.
Prema lainovim uvjetima, to znači da su ranjivi kromirani korisnici namamljeni u posjet web mjestu pod kontrolom napadača mogu biti izloženi napadima u kojima akteri prijetnji instaliraju zlonamjerni softver, uključujući špijunski softver, na svoje uređaje ili poduzimaju druge zlonamjerne akcije poput zaobilaženja sigurnosnih ograničenja za provođenje dubljeg bočnog kretanja u njihovom okruženju ili pristupa i ukradenih podataka.
“Google je svjestan da u divljini postoji iskorištavanje za CVE-2025-6554”, rekao je Google u svojoj obavijesti o ažuriranju.
Međutim, s obzirom na to da će ažuriranje možda potrajati neko vrijeme da se filtrira na sve korisnike Chromea, Google nije pružio daljnje tehničke detalje problema izvan činjenice da se čini da se iskorištavanje koristi u cyber napadima. Imajte na umu da Google Tag često nadgleda i izvještava o cyber aktivnosti podržanoj državi, ali to nije nužno pokazatelj pripisivanja bilo kojem takvom prijetnji.
Korisnici Chromea mogu provjeriti je li njihov preglednik ažuriran ili ne tako da krenete do izbornika pomoći putem ikone s tri točke u gornjem desnom kutu prozora njihovog preglednika, a zatim klikom na Google Chrome. U većini slučajeva to bi trebalo automatski pokrenuti ažuriranje ako još nije primijenjeno.
Sadržaj objave
Koje su bube za zbrku?
Ranjivost za zbrku tipa nastaje kada program izrađuje netočnu pretpostavku o vrsti objektnog resursa i pokušava ga pristupiti ili koristiti kao da je to pretpostavljeni tip. To izbacuje pogreške i nepoželjna ponašanja poput padova, korupcije podataka i pogrešnog pristupa memoriji, ili u ovom slučaju omogućava proizvoljnu izvršavanje koda.
Napadači mogu iskoristiti ove uvjete pisanjem specifičnog JavaScript koda kako bi pokrenuli pogrešne pretpostavke vrste unutar V8.
Ove pogreške imaju tendenciju da se pojavljuju u C i C ++ kodirajućim jezicima – Chrome i V8 napisani su u C ++ – što čine s mehanizmima o sigurnosti memorije, Ali prema Sokradaru, viđeni su i u PHP i Perl kodu.
Osim web preglednika kao što su Chrome, Firefox ili Safari, oni se mogu pojaviti i kod čitača PDF -a, ostalih JavaScript motora, osim V8 ili komponenti operativnog sustava.
Programeri mogu izbjeći unošenje manjki za zbrku tipa u svoj softver provodeći odgovarajuću provjeru tipa na sastavljanju i vremenu izvođenja, koristeći jezike sigurnih memorije, ako je moguće, implementirajući provjere provjere tipa izvođenja, provođenje pregleda koda koji se usredotočuju na lijevanje tipa i koristeći statičke alate za analizu za otkrivanje potencijalnih problema.
Povezani sadržaji
- Evo Pixela 9 Pro XL sniženog 250 USD izgleda elegantno na Crni petak
Pogledajte današnje Pokémon predstavlja emitiranje ovdje
Kaos, zbrka i zavjere: Unutar Facebook grupe za autizam RFK Jr.
Najbolje Amazon se trenutno bavi: Uštedite na Appleu, Eufyju i još mnogo toga
Chime | Primajte obavijesti za Gmail, Facebook, Twitter i druge web usluge na jednom mjestu
Postoji novi način brojanja prostih brojeva
