Chrome brauzerini qanday yangilash va Kengaytirilgan nol kunlik himoyani yoqish

Muhim zaifliklarning paydo bo'lish tezligi to'xtovsiz davom etmoqda va dunyodagi eng keng tarqalgan brauzer yana suhbatlar markazida. Chrome Favqulodda yamoqlar bilan allaqachon faol foydalanilayotgan yangi kamchiliklarga javob berishga majbur bo'ldi: la Kengaytirilgan nol kun himoyasi.

So'nggi haftalarda bir nechta tegishli ogohlantirishlar e'lon qilindi: a ANGLE/GPU orqali sinov qutisidan chiqish (CVE-2025-6558) V8 JavaScript dvigatelidagi jiddiy muammoga (CVE-2025-5419), josuslik kampaniyalari bilan bog'liq ekspluatatsiyaga (CVE-2025-2783). Bularning barchasi, qaysi kontekstda Ekspluatatsiyalar dastlabki kirishga olib keladi 2024 va 2025 yillarda bosqinlar va o'nlab nol kunlar ishlatilganligi xabar qilingan.

Umumiy ko'rinish: Nolinchi kunlarning ko'tarilishi va brauzerlarga bosim

Ma'lumotlar ko'plab xavfsizlik guruhlari har kuni nimani boshdan kechirayotganini tasdiqlaydi: Nolinchi kunlik ekspluatatsiya bir necha yillardan beri o'sib bormoqda.Google Threat Intelligence jamoasi 75-yilda 2024 ta faol foydalanilgan nol kunlik zaifliklarni qayd etdi, bu esa ekspluatatsiya bozori va hujumlar zanjiri jonli bo‘lib qolayotganini ko‘rsatadi.

2025 yilda ekspluatatsiyalar intsidentlarning dastlabki kirish vektori sifatida hukmronlik qilishda davom etmoqda. kirish vektorlarining 33% atrofida kuzatilgan. Himoyachilar uchun bu manevr uchun kamroq joy va tezkor aniqlash va javob berishga ehtiyojni oshiradi, ayniqsa brauzerlar kabi muhim komponentlarda.

Medianing diqqat markazida Chrome bo'ldi, ammo kengroq kontekstni, jumladan, yangi brauzerlarni ham unutmaslik kerak. OpenAI brauzeriva Boshqa asosiy texnologiyalar ham jiddiy nosozliklarga duch keldi, masalan, FortiWeb veb-ilovasi xavfsizlik devori (CVE-2025-25257). Asosiy xabar aniq: tajovuzkorlar hujum yuzasining har bir muhim qismidan foydalanadilar.

Ushbu stsenariy provayderlar va tashkilotlarning javob qobiliyatini tezlashtirishni talab qiladi. Kengaytirilgan nol kuni himoyasi ehtiyot chorasi emas; bu haqiqiy zaruratdir.

CVE-2025-6558: ANGLE/GPU orqali sinov muhitidan chiqish

Yaxshilangan nol kunlik himoyani hisobga olgan holda, Google Chrome brauzeridagi bir nechta zaifliklar uchun yamoqlarni chiqardi va buni tasdiqladi. CVE-2025-6558 faol foydalanilmoqdaBu kamchilik masofaviy tajovuzkorga komponentlardagi ishonchsiz maʼlumotlardan notoʻgʻri ishlov berish orqali yaratilgan HTML-sahifa bilan brauzer sinov maydonini chetlab oʻtish imkonini beradi. ANGLE va GPU.

Nega bunchalik qiyin? ANGLE - renderlash mexanizmi va tizimning grafik drayverlari o'rtasidagi tarjima qatlami. Agar GPU bilan o'zaro aloqa past darajada manipulyatsiya qilinsa, brauzer izolyatsiyasidan qochish marshrutlari ochilishi va xost tizimi resurslari buzilishi mumkin. Foydalanuvchi uchun bu shunchaki zararli veb-saytga tashrif buyurish chuqur murosaga olib kelishi mumkinligini anglatadi.

Google ekspluatatsiyaning texnik tafsilotlarini taqdim qilmagan bo'lsa-da, u haqiqiy stsenariylarda ekspluatatsiyaga ishora qildi va ishora qildi. yuqori qobiliyatli aktyorlarning mumkin bo'lgan faoliyatiUshbu turdagi zaifliklar, ayniqsa, maqsadli kampaniyalar va josuslik uchun jozibador.

Shoshilinch yumshatish sifatida Google yangilashni tavsiya qiladi Windows va macOS’da Chrome 138.0.7204.157/.158 versiyasiga, Shunga qaramay Linuxda 138.0.7204.157Agar siz Chromium-ga asoslangan brauzerlardan foydalansangiz (Edge, Brave, Opera, Vivaldi va boshqalar), sizga taqdim etilgan yangilanishlarni imkon qadar tezroq qo'llang va baholang. Arcga muqobillarKo'pgina hollarda, yamoqni yuklab olgandan so'ng Chrome-ni yopish va qayta ochish kifoya.

Xuddi shu yamoqlar to'plami boshqa tegishli xatolarni ko'rib chiqdi, ular haqida bilishga arziydi, chunki raqib zaifliklarni zanjirband qilishi mumkin ta'sirini oshirish uchun:

• CVE-2025-6554: xotira buzilishiga va potentsial masofaviy kod bajarilishiga olib kelishi mumkin bo'lgan dasturlash xatosi.
• CVE-2025-6555: JavaScript dvigateliga ta'sir qiladi; xavfli ko'rsatmalarni bajarish uchun ishlatilishi mumkin.
• CVE-2025-6556: Zararli veb-saytlarga ruxsat etilmagan xotira maydonlarini o'zgartirishga ruxsat beruvchi chegaradan tashqari yozuvlar.
• CVE-2025-6557: : Mojo'da (jarayonlararo aloqa) suiiste'mol stsenariylarini osonlashtirishi mumkin bo'lgan muammo.
• CVE-2025-6558: yuqorida aytib o'tilgan ANGLE/GPU sandbox qochish.
• CVE-2025-6559: ekspluatatsiya qilinadigan tartibsiz effektlar bilan grafik tizimdagi parallellik shartlari.

Google Chrome-ni qanday xavfsiz yangilash kerak

Chrome odatda oʻzini yangilab tursa-da, favqulodda xabarnoma mavjudligini qoʻlda tekshirish yaxshi boʻladi. Ish stolida Menyu > Yordam > Google Chrome haqida ga o‘tingAgar versiya kutilayotgan bo'lsa, brauzer uni yuklab oladi va o'rnatadi va yamoqni qo'llash uchun sizni qayta ishga tushirishni taklif qiladi.

CVE-2025-6558 va oxirgi paketning qolgan qismiga qarshi himoya qilish uchun, Windows va macOS’da 138.0.7204.157/.158 mavjudligiga ishonch hosil qiling., va Linuxda 138.0.7204.157Ko'p hollarda, yamoq yuklab olingandan keyin Chrome'ni yopish va qayta ochish kifoya; bo'lmasa, uni qayta ishga tushirishga majbur qiling.

Agar siz korporativ muhitni boshqarsangiz, nazoratni kuchaytiring: avtomatlashtirilgan va nazorat qilinadigan yangilash siyosati, vaqti-vaqti bilan o'rnatilgan versiyalarni ko'rib chiqish va kerak bo'lganda qayta ishga tushirish uchun foydalanuvchilar bilan muloqot qilish. Kengaytirilgan nol kunlik himoyani faollashtirishda bir necha kunlik kechikish opportunistik hujumga qarshi hamma narsani o'zgartirishi mumkin.

Va, albatta, agar siz Edge, Brave, Opera yoki boshqa Chromium-ga asoslangan brauzerlardan foydalansangiz, barqaror kanallaringizni kuzatib boringSotuvchilar odatda o'zlarining yamoqlarini Chrome bilan sinxronlashgan holda yoki undan ko'p o'tmay chiqaradilar.

Bunga parallel ravishda, operatsion tizimni yumshatish boshqaruvlarini (ASLR, DEP, Control Flow Guard…) va oxirgi nuqtangiz tomonidan taklif qilingan qattiqlashtirish siyosatlarini yoqing va tekshiring, chunki Ushbu qatlamlar ekspluatatsiyani to'xtatishi mumkin aniq yamoq keladi esa.

CVE-2025-5419: V8-da o'qish/yozish chegarasidan tashqarida

Yaqinda yana bir muhim ogohlantirish CVE-2025-5419, V8 JavaScript/WebAssembly dvigatelidagi yuqori darajadagi zaiflik. Bu imkon beradi xotira chegaralaridan tashqarida o'qish va yozish, bu xotira buzilishi va potentsial kod bajarilishi uchun eshikni ochadi.

Google tahdidlarni tahlil qilish guruhi (TAG) tadqiqotchilari muammoni aniqladilar va uning faol ishlatilishiga javoban kompaniya ikki bosqichda javob berdi: Birinchidan, barqaror kanal darajasida konfiguratsiyani yumshatish, keyin esa rasmiy yamoq. Tuzatilgan versiyalar edi Windows va macOS-da 137.0.7151.68/.69va Linuxda 137.0.7151.68.

Texnik xususiyatga ko'ra, u mumkin bo'lgan deb ta'riflangan tartibsizlik V8 ichida, bu erda vosita xotiradagi ob'ektlarni talqin qilish usuli xavfli holatlarga olib kelishi mumkin. Google tanladi texnik ma'lumotlar saqlangan foydalanuvchilarning katta qismi allaqachon himoyalangan bo'lgunga qadar, shuningdek, agar ular tuzatilmagan bo'lsa, uchinchi tomon kutubxonalariga zarar yetkazmaslik uchun.

CVE-2025-2783 va "ForumTroll operatsiyasi" fishing kampaniyasi

Mart oyida yamoq yaratildi Sandboxdan qochish (CVE-2025-2783) Turli manbalarga ko'ra, Rossiya ommaviy axborot vositalari va hukumat tuzilmalariga qarshi josuslik hujumlarida zararli dasturlarni joylashtirish uchun foydalanilgan. Bir necha oy o'tgach, yana bir zaiflik foydalanuvchi hisoblarini muayyan sharoitlarda buzishga imkon berdi va buni ko'rsatdi Aktyorlar ijtimoiy muhandislik va brauzer kamchiliklarini birlashtiradi.

Kasperskiy tekshiruvi bu haqda batafsil ma'lumot beradi ForumTroll operatsiyasi, Primakov o'qishlari xalqaro forumi taqlid qiluvchi fishing kampaniyasi. firibgarlik elektron pochta tadbir dasturi va ro'yxatga olish uchun havolalar kiritilgan, lekin soxta veb-saytlarga yo'naltirilgan Chrome yoki Chromium brauzerlari bilan tashrif buyurganingizda, qurilma deyarli avtomatik ravishda infektsiyalanishiga olib keldi.

Kasperskiy ekspluatatsiya ekanligini ta'kidlaydi Sandbox himoya mexanizmlarini chetlab o'tdi Rossiyadagi jurnalistlar, ta'lim xodimlari va ommaviy axborot vositalari vakillariga alohida e'tibor qaratib, qat'iylik va axborot o'g'irlanishiga erishish. Bu yaxshi eslatma shunchaki zararli yorliqni oching shunday qilib, agar nol-kun mavjud bo'lsa, ekspluatatsiya zanjiri ishga tushiriladi.

Dastlabki vektor fishing bo'lsa-da, asosiysi shundaki, brauzerdan foydalanish tashrifdan tashqari hech qanday qo'shimcha shovqinni talab qilmadi. Ushbu hujum modeli ishqalanishni kamaytiradi va muvaffaqiyat darajasini oshiradi, shuning uchun kuchaytirilgan nol kunlik himoyani qo'llash va ta'sir qilish yuzasini kamaytirish zarurati.

Kengaytirilgan nol kunlik himoya: aniqlashlar, nol ishonch va javob

"Imkon qadar tezroq tuzatish" dan tashqari, ushbu turdagi hodisalarga chidamlilikni oshiradigan choralar ham mavjud. Birinchidan, telemetriya va xatti-harakatlarga asoslangan aniqlash foydalanish mumkin bo'lgan anomaliyalarni aniqlashga yordam beradigan (masalan, noodatiy renderlash jarayoni faolligi, ma'lum ekspluatatsiya zanjirlari yoki Mojo kabi IPCni suiiste'mol qilish).

Kengaytirilgan nol kuni himoyasi haqida gapiradigan bo'lsak, aniqlash jamiyati iste'mol qilishni tavsiya qiladi Sigma qoidalari va ov mazmuni CVE-yorliqlangan, MITER ATT&CK bilan taqqoslangan va mos keladi O'nlab SIEM, EDR va ma'lumotlar ko'li formatlariIxtisoslashgan platformalar har kuni yangilanib turadigan va paydo bo'ladigan tahdidlardan faol himoyalanish uchun AI intellekti bilan boyitilgan yuz minglab qoidalarga ega bozorni taklif etadi.

E'tiborga molik taklif AI kodini ochish, avlodni tezlashtiradigan aniqlash muhandisligi uchun AI kopiloti Roota va Sigma qoidalari, tahdid razvedkasini operatsion mantiqqa aylantiradi, kodni hujjatlashtiradi va takomillashtiradi va qo'llab-quvvatlaydi 56 ta so'rov tiliShuningdek, u aniqlash muhandislari uchun oxirigacha yordam berish uchun AI/ML yordamida ATT&CK xaritalash yordamida hujum oqimlarini yaratish imkonini beradi.

Himoya to'plamining bir qismi sifatida ba'zi to'plamlar tugmachani yoki omborni o'z ichiga oladi Aniqlanishlar bilan tanishing CTI havolalari, hujum vaqt jadvallari, konfiguratsiya tekshiruvlari va triage tavsiyalari kabi tasdiqlangan tarkibga bir zumda kirish uchun. Ushbu kontentni aniqlash kanalingizga integratsiya qiling. o'rtacha javob vaqtini qisqartiradi nol kunlardan foydalanadigan kampaniyalarga qarshi.

Arxitektura nuqtai nazaridan, bu strategiyani mustahkamlaydi nol ishonch: tarmoq segmentatsiyasi, so'nggi nuqtalarda eng kam imtiyozlar, ilovalarni boshqarish va nozik jarayonlarni izolyatsiya qilish. Bu qatlamlar nol kunning paydo bo'lishiga to'sqinlik qilmaydi, lekin ta'sir radiusini kamaytiring va dastlabki brauzer buzilganidan keyin imtiyozlarni oshirishni qiyinlashtiradi.

Va nihoyat, shoshilinch tuzatish uchun aniq tartib-qoidalarni saqlang: xavfsizlik bildirishnomalari uchun tarqatish ro'yxatlari, o'rnatilgan versiyalarni inventarizatsiya qilish, va brauzerlar uchun tezkor parvarishlash oynalari. Ta'riflanganlarga o'xshash kampaniyalarda ta'sir qilish soatlarini qisqartirish mumkin majburiyatlardan qoching katta miqyosda.

Ushbu zaifliklarning tasviri keskin: brauzer strategik kirish nuqtasidir va tajovuzkorlar buni bilishadi. Kengaytirilgan nol kunlik himoya muhim: Tezkor tuzatish, eng yaxshi amaliyotlar va ishlab chiqarishga tayyor aniqlashlar bilan, siz mudofaa o'ynashdan hujum zanjirlarini kuchayib ketishidan oldin kesishingiz mumkin.

Tegishli maqola:

Google Chrome-dagi muhim zaiflik haqida global ogohlantirish: nimani bilishingiz kerak va o'zingizni qanday himoya qilishingiz kerak

Daniel Terrasa

Turli raqamli ommaviy axborot vositalarida o'n yildan ortiq tajribaga ega texnologiya va internet masalalariga ixtisoslashgan muharrir. Men elektron tijorat, aloqa, onlayn marketing va reklama kompaniyalarida muharrir va kontent yaratuvchisi sifatida ishlaganman. Iqtisodiyot, moliya va boshqa sohalar veb-saytlarida ham yozganman. Mening ishim ham mening ishtiyoqim. Endi mening maqolalarim orqali Tecnobits, Men hayotimizni yaxshilash uchun har kuni texnologiya olami bizga taqdim etayotgan barcha yangiliklar va yangi imkoniyatlarni o‘rganishga harakat qilaman.