Paano i-update ang Chrome at paganahin ang Pinahusay na Zero-Day Protection

Ang bilis kung saan lumilitaw ang mga kritikal na kahinaan ay patuloy na walang tigil, at ang pinakamalawak na ginagamit na browser sa mundo ay muling nasa gitna ng pag-uusap. kromo ay kailangang tumugon sa mga emergency patch sa mga bagong kapintasan na aktibong pinagsamantalahan: la Pinahusay na zero-day na proteksyon.

Sa nakalipas na mga linggo, maraming nauugnay na babala ang inilabas: mula sa a Sandbox escape sa pamamagitan ng ANGLE/GPU (CVE-2025-6558) sa isang seryosong isyu sa V8 JavaScript engine (CVE-2025-5419), hanggang sa isang pagsasamantalang nauugnay sa mga kampanyang pang-espiya (CVE-2025-2783). Ang lahat ng ito, sa isang konteksto kung saan Ang mga pagsasamantala ay patuloy na humahantong sa paunang pag-access sa mga panghihimasok at dose-dosenang zero-days ang naiulat na pinagsamantalahan noong 2024 at 2025.

Pangkalahatang-ideya: Pagtaas ng zero-days at pressure sa mga browser

Kinukumpirma ng data kung ano ang nararanasan ng maraming security team araw-araw: Ang zero-day exploitation ay tumataas sa loob ng ilang taon.Ang koponan ng Google Threat Intelligence ay nagtala ng 75 aktibong pinagsamantalahan ng zero-day na kahinaan noong 2024, na nagpapahiwatig na nananatiling masigla ang exploit market at mga chain ng pag-atake.

Noong 2025, patuloy na nangingibabaw ang mga pagsasamantala bilang unang entry vector sa mga insidente, na kumakatawan humigit-kumulang 33% ng mga intrusion vector sinusunod. Para sa mga tagapagtanggol, nangangahulugan ito ng mas kaunting puwang para sa pagmamaniobra at mas malaking pangangailangan para sa mabilis na pagtuklas at pagtugon, lalo na sa mga kritikal na bahagi tulad ng mga browser.

Ang media spotlight ay nasa Chrome, ngunit mahalagang huwag kalimutan ang mas malawak na konteksto, kabilang ang mga bagong browser tulad ng OpenAI browser, At Ang iba pang mga pangunahing teknolohiya ay nagkaroon din ng mga kritikal na pagkabigo, gaya ng FortiWeb web application firewall (CVE-2025-25257). Malinaw ang pinagbabatayan ng mensahe: sinasamantala ng mga umaatake ang bawat kritikal na bahagi ng ibabaw ng pag-atake.

Hinihiling ng sitwasyong ito na pabilisin ng mga provider at organisasyon ang kanilang kapasidad sa pagtugon. Ang Pinahusay na Zero-Day Protection ay higit pa sa isang pag-iingat na hakbang; ito ay isang tunay na pangangailangan.

CVE-2025-6558: Sandbox escape sa pamamagitan ng ANGLE/GPU

Sa pag-iisip ng pinahusay na zero-day na proteksyon, naglabas ang Google ng mga patch para sa ilang mga kahinaan sa Chrome at nakumpirma na Ang CVE-2025-6558 ay aktibong pinagsamantalahanAng kapintasan na ito ay nagbibigay-daan sa isang malayuang umaatake na i-bypass ang sandbox ng browser na may ginawang HTML na pahina sa pamamagitan ng paggamit ng hindi wastong paghawak ng hindi pinagkakatiwalaang input sa mga bahagi tulad ng ANGLE at ang GPU.

Bakit napakaliit nito? Ang ANGLE ay ang layer ng pagsasalin sa pagitan ng rendering engine at ng mga graphics driver ng system. Kung ang pakikipag-ugnayan sa GPU ay manipulahin sa mababang antas, maaaring mabuksan ang mga ruta ng pagtakas sa paghihiwalay ng browser at maaaring makompromiso ang mga mapagkukunan ng host system. Para sa user, nangangahulugan ito na ang simpleng pagbisita sa isang nakakahamak na website ay maaaring humantong sa isang malalim na kompromiso.

Bagama't hindi ibinigay ng Google ang mga teknikal na detalye ng pagsasamantala, itinuro nito ang pagsasamantala sa mga totoong sitwasyon sa mundo at nagpahiwatig posibleng aktibidad ng mga may kakayahang aktorAng mga uri ng kahinaan na ito ay partikular na kaakit-akit para sa mga naka-target na kampanya at espiya.

Bilang isang agarang pagpapagaan, inirerekomenda ng Google ang pag-update Chrome sa bersyon 138.0.7204.157/.158 sa Windows at macOS, Ngunit ang 138.0.7204.157 sa LinuxKung gumagamit ka ng mga browser na nakabatay sa Chromium (Edge, Brave, Opera, Vivaldi, atbp.), ilapat ang mga update na ginawang available sa iyo sa lalong madaling panahon at suriin mga alternatibo sa ArcSa maraming kaso, sapat na ang pagsasara at muling pagbubukas ng Chrome pagkatapos i-download ang patch.

Ang parehong batch ng mga patch ay tumugon sa iba pang nauugnay na mga bug na nagkakahalaga ng pag-alam, dahil ang isang kalaban ay maaaring magkadena ng mga kahinaan upang madagdagan ang epekto:

• CVE-2025-6554: programming error na may kakayahang magdulot ng memory failure at potensyal na remote code execution.
• CVE-2025-6555: nakakaapekto sa JavaScript engine; ay maaaring gamitin upang magsagawa ng mga mapanganib na tagubilin.
• CVE-2025-6556: Out-of-bounds na pagsulat na nagpapahintulot sa mga nakakahamak na website na baguhin ang mga hindi awtorisadong lugar ng memorya.
• CVE-2025-6557: : Isyu sa Mojo (inter-process na komunikasyon) na maaaring mapadali ang mga sitwasyon ng pang-aabuso.
• CVE-2025-6558: ang nabanggit na ANGLE/GPU sandbox escape.
• CVE-2025-6559: concurrency na mga kundisyon sa graphical system na may mga mapagsamantalang epekto ng mali-mali.

Paano ligtas na i-update ang Google Chrome

Bagama't kadalasang nag-a-update ang Chrome mismo, magandang ideya na manual na suriin kung mayroong emergency na notification. Sa desktop, pumunta sa Menu > Tulong > Tungkol sa Google ChromeKung nakabinbin ang isang bersyon, ida-download at i-install ito ng browser at ipo-prompt kang i-restart upang ilapat ang patch.

Upang masakop laban sa CVE-2025-6558 at sa iba pang pinakabagong pakete, Tiyaking mayroon kang 138.0.7204.157/.158 sa Windows at macOS, at ang 138.0.7204.157 sa LinuxSa maraming kaso, ang pagsasara at muling pagbubukas ng Chrome pagkatapos ng pag-download ng patch ay sapat na; kung hindi, pilitin itong i-restart.

Kung namamahala ka ng corporate environment, palakasin ang mga kontrol: awtomatiko at pinangangasiwaang patakaran sa pag-update, pana-panahong sinusuri ang mga naka-deploy na bersyon, at pakikipag-ugnayan sa mga user upang mag-restart kung naaangkop. Ang ilang araw na pagkaantala sa pag-activate ng Enhanced Zero-Day Protection ay maaaring gumawa ng lahat ng pagkakaiba sa harap ng isang oportunistang pag-atake.

At siyempre, kung gumagamit ka ng Edge, Brave, Opera o iba pang mga browser na nakabatay sa Chromium, subaybayan ang iyong mga matatag na channelKaraniwang inilalabas ng mga vendor ang kanilang sariling patch na naka-sync sa o ilang sandali pagkatapos ng Chrome.

Kasabay nito, i-enable at i-verify ang operating system mitigation controls (ASLR, DEP, Control Flow Guard...) at ang hardening policy na inaalok ng iyong endpoint, dahil Ang mga patong na ito ay maaaring mag-ambag sa pagsasamantala habang may dumating na tiyak na patch.

CVE-2025-5419: Out-of-bounds read/write in V8

Ang isa pang kamakailang mahalagang alerto ay CVE-2025-5419, isang mataas na kalubhaan na kahinaan sa V8 JavaScript/WebAssembly engine. Pinapayagan nito pagbabasa at pagsusulat sa labas ng mga limitasyon ng memorya, na nagbubukas ng pinto sa memory corruption at potensyal na code execution.

Natuklasan ng mga mananaliksik mula sa Threat Analysis Group (TAG) ng Google ang isyu, at bilang tugon sa aktibong pagsasamantala nito, tumugon ang kumpanya sa dalawang yugto: Una, isang configuration mitigation sa stable channel level, at pagkatapos ay isang opisyal na patch. Ang mga naitama na bersyon ay 137.0.7151.68/.69 sa Windows at macOS, At 137.0.7151.68 sa Linux.

Sa mga tuntunin ng teknikal na kalikasan, ito ay inilarawan bilang posible uri ng pagkalito sa loob ng V8, kung saan ang paraan ng pagpapakahulugan ng makina sa mga bagay sa memorya ay maaaring humantong sa mga mapanganib na estado. Nag-opt to ang Google nakalaan ang mga teknikal na detalye hanggang sa ang malaking porsyento ng mga user ay protektado na, at upang maiwasan din na makapinsala sa mga third-party na aklatan kung mananatiling hindi nata-patch ang mga ito.

CVE-2025-2783 at ang "Operation ForumTroll" phishing campaign

Noong Marso ay ginawa ang isang patch pagtakas sa sandbox (CVE-2025-2783) ginamit upang mag-deploy ng malware sa mga pag-atake ng espiya laban sa Russian media at mga entity ng gobyerno, ayon sa iba't ibang mga mapagkukunan. Pagkalipas ng mga buwan, pinahintulutan ng isa pang kahinaan ang mga account ng user na makompromiso sa ilalim ng mga partikular na kundisyon, na nagpapakita na Pinagsasama ng mga aktor ang social engineering at mga bahid ng browser.

Ang isang pagsisiyasat ng Kaspersky ay nagdetalye sa tinatawag na Operation ForumTroll, isang kampanya sa phishing na nagpapanggap bilang internasyonal na forum na Primakov Readings. Ang mapanlinlang na email ay may kasamang mga link sa programa ng kaganapan at pagpaparehistro, ngunit na-redirect sa mga pekeng website na, kapag binisita gamit ang mga browser ng Chrome o Chromium, ay naging sanhi ng halos awtomatikong impeksyon sa device.

Itinuturo ni Kaspersky na ang pagsasamantala na-bypass na mga mekanismo ng pagtatanggol ng sandbox upang makamit ang pagpupursige at pagnanakaw ng impormasyon, na may espesyal na pagtuon sa mga mamamahayag, manggagawa sa edukasyon, at mga kinatawan ng media sa Russia. Magandang paalala yan magbukas lang ng malisyosong tab para ma-trigger ang isang chain ng pagsasamantala kung available ang isang zero-day.

Bagama't ang unang vector ay phishing, ang susi ay ang pagsasamantala ng browser ay hindi nangangailangan ng karagdagang pakikipag-ugnayan sa kabila ng pagbisita. Ang modelo ng pag-atake na ito ay nagpapaliit ng alitan at pinapataas ang rate ng tagumpay, kaya ang pangangailangan ng madaliang paglalapat ng pinahusay na zero-day na proteksyon at pagbabawas ng exposure surface.

Pinahusay na zero-day na proteksyon: mga detection, zero trust, at tugon

Higit pa sa "pagta-patch sa lalong madaling panahon," may mga hakbang na nagpapataas ng katatagan sa mga ganitong uri ng insidente. Una, telemetry at mga pagtukoy na nakabatay sa pag-uugali na tumutulong sa pagtukoy ng mga mapagsamantalang anomalya (hal., hindi pangkaraniwang aktibidad sa proseso ng pag-render, mga kilalang exploit chain, o pang-aabuso sa IPC gaya ng Mojo).

Kung pinag-uusapan natin ang tungkol sa Enhanced Zero Day Protection, inirerekomenda ng komunidad ng pagtuklas ang pagkonsumo Mga panuntunan sa Sigma at nilalaman ng pangangaso May label na CVE, nakamapa sa MITER ATT&CK, at sumusunod sa Dose-dosenang mga format ng SIEM, EDR, at data lakeAng mga dalubhasang platform ay nag-aalok ng isang marketplace na may daan-daang libong panuntunan na ina-update araw-araw at pinayaman ng katutubong AI intelligence, upang aktibong ipagtanggol laban sa mga umuusbong na banta.

Ang isang kapansin-pansing panukala ay Uncoder AI, isang AI copilot para sa detection engineering na nagpapabilis sa pagbuo ng Mga panuntunan ng Roota at Sigma, binabago ang threat intelligence sa operational logic, mga dokumento at pinipino ang code, at mga suporta 56 mga wika ng queryNagbibigay-daan din ito sa paglikha ng Attack Flows na may ATT&CK mapping gamit ang AI/ML para magbigay ng end-to-end na suporta para sa mga detection engineer.

Bilang bahagi ng defense stack, ang ilang suite ay may kasamang button o repository ng Galugarin ang Mga Deteksiyon upang agad na ma-access ang na-verify na nilalaman, kabilang ang mga link ng CTI, mga timeline ng pag-atake, mga pag-audit ng configuration, at mga rekomendasyon sa triage. Isama ang nilalamang ito sa iyong pipeline ng pagtuklas. binabawasan ang average na oras ng pagtugon laban sa mga kampanyang nagsasamantala ng mga zero-day.

Sa mga tuntunin ng arkitektura, pinalalakas nito ang isang diskarte ng zero tiwala: pagse-segment ng network, hindi bababa sa pribilehiyo sa mga endpoint, kontrol sa aplikasyon, at paghihiwalay ng mga sensitibong proseso. Ang mga layer na ito ay hindi mapipigilan ang isang zero-day na mangyari, ngunit bawasan ang radius ng epekto at gawin itong mahirap na palakihin ang mga pribilehiyo pagkatapos ng isang paunang kompromiso sa browser.

Panghuli, panatilihin ang mga malinaw na pamamaraan para sa agarang pag-patch: mga listahan ng pamamahagi para sa mga abiso sa seguridad, imbentaryo ng mga naka-deploy na bersyon, at agile maintenance window para sa mga browser. Sa mga kampanyang tulad ng mga inilarawan, ang pagbabawas ng mga oras ng pagkakalantad ay maaari iwasan ang mga pangako sa isang malaking sukat.

Ang larawang ipinipinta ng mga kahinaan na ito ay malinaw: ang browser ay isang madiskarteng entry point, at alam ito ng mga umaatake. Ang pinahusay na zero-day na proteksyon ay mahalaga: Gamit ang mabilis na pag-patch, zero-trust na pinakamahuhusay na kagawian, at production-ready detection, maaari kang pumunta mula sa paglalaro ng depensa hanggang sa pagputol ng mga nakakasakit na kadena bago sila lumaki.

Kaugnay na artikulo:

Global alert para sa isang kritikal na kahinaan sa Google Chrome: kung ano ang kailangan mong malaman at kung paano protektahan ang iyong sarili

Daniel Terrasa

Dalubhasa ang editor sa mga isyu sa teknolohiya at internet na may higit sa sampung taong karanasan sa iba't ibang digital media. Nagtrabaho ako bilang isang editor at tagalikha ng nilalaman para sa e-commerce, komunikasyon, online na marketing at mga kumpanya ng advertising. Nagsulat din ako sa mga website ng ekonomiya, pananalapi at iba pang sektor. Ang aking trabaho ay hilig ko rin. Ngayon, sa pamamagitan ng aking mga artikulo sa Tecnobits, sinusubukan kong tuklasin ang lahat ng mga balita at mga bagong pagkakataon na iniaalok sa atin ng mundo ng teknolohiya araw-araw upang mapabuti ang ating buhay.