Η Google διορθώνει κρίσιμη zero-day ευπάθεια στο Chrome
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η Google διορθώνει κρίσιμη zero-day ευπάθεια στο Chrome
https://www.secnews.gr/654020/google-diorthonei-krisimi-zero-day-eupatheia-chrome/
Jul 16th 2025, 14:14
by Digital Fortress
Η Google κυκλοφόρησε σημαντική ενημέρωση ασφαλείας για το πρόγραμμα περιήγησης Chrome, για να αντιμετωπίσει έξι ευπάθειες, ανάμεσά τους και μια σοβαρή zero-day (CVE-2025-6558). Το συγκεκριμένο κενό ασφαλείας, με βαθμολογία CVSS 8,8/10, αφορά ανεπαρκή επικύρωση εισόδου στα υποσυστήματα ANGLE και GPU του browser, επιτρέποντας σε κακόβουλες ιστοσελίδες να ξεφύγουν από το sandbox.
Η ευπάθεια ανακαλύφθηκε από την Ομάδα Ανάλυσης Απειλών (Threat Analysis Group – TAG) της Google, με τους ερευνητές Clément Lecigne και Vlad Stolyarov να την αναφέρουν στις 23 Ιουνίου. Σύμφωνα με τη Google, το exploit επιτρέπει σε έναν απομακρυσμένο εισβολέα να παρακάμψει τα μέτρα απομόνωσης του Chrome (sandboxing) και να αποκτήσει άμεση πρόσβαση στο λειτουργικό σύστημα του θύματος — ενδεχομένως χωρίς κανένα κλικ, απλώς με την επίσκεψη σε μια κακόβουλη ιστοσελίδα.
Δείτε επίσης: Zero-day του Microsoft SQL Server αποκαλύπτει ευαίσθητα δεδομένα
Τι είναι το ANGLE και γιατί η ευπάθεια προκαλεί ανησυχία
Το ANGLE (Almost Native Graphics Layer Engine) λειτουργεί ως ενδιάμεσο στρώμα μεταξύ του rendering engine του Chrome και των graphics drivers. Τα τρωτά σημεία στη λειτουργική μονάδα μπορούν να επιτρέψουν στους εισβολείς να ξεφύγουν από το sandbox του Chrome, χρησιμοποιώντας low-level GPU operations, που τα προγράμματα περιήγησης συνήθως διατηρούν απομονωμένα. Αυτό επιτρέπει μια σπάνια αλλά ισχυρή διαδρομή για βαθύτερη πρόσβαση στο σύστημα.
Για τους περισσότερους χρήστες, ένα sandbox escape σημαίνει ότι η επίσκεψη σε έναν κακόβουλο ιστότοπο είναι αρκετή για να βγει από τη "φούσκα ασφαλείας" του προγράμματος περιήγησης και να αλληλεπιδράσει με το υποκείμενο σύστημα.
Αν και η Google δεν έχει δώσει λεπτομέρειες για τη φύση των επιθέσεων, η εμπλοκή της TAG αφήνει να εννοηθεί ότι πρόκειται για στοχευμένες επιθέσεις πιθανόν γεωπολιτικού ενδιαφέροντος.
Δείτε επίσης: Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
Πέντε zero-days στο Chrome μέσα στο 2025
Το CVE-2025-6558 αποτελεί το πέμπτο zero-day που αναγνωρίζεται φέτος στο Chrome, μετά τα:
• CVE-2025-2783
• CVE-2025-4664
• CVE-2025-5419
• CVE-2025-6554 (επίσης αναφέρθηκε από τον Lecigne τον Ιούνιο)
Η αυξημένη συχνότητα τέτοιων ευπαθειών καταδεικνύει τη συνεχιζόμενη στοχοποίηση του Chrome από προηγμένους εισβολείς, αλλά και τη σημαντική προσπάθεια των ομάδων ασφαλείας της Google για τον εντοπισμό και την άμεση αντιμετώπισή τους.
Τι πρέπει να κάνουν οι χρήστες
Η Google συνιστά στους χρήστες να ενημερώσουν άμεσα το Chrome στις εκδόσεις 138.0.7204.157 ή .158 σε Windows και macOS και 138.0.7204.157 σε Linux. Η διαδικασία ενημέρωσης γίνεται από το μενού Ρυθμίσεις > Βοήθεια > Σχετικά με το Google Chrome, όπου ο χρήστης μπορεί να ελέγξει αν έχει την τελευταία έκδοση και να επανεκκινήσει τον browser.
Παράλληλα, χρήστες άλλων Chromium-based browsers όπως Microsoft Edge, Brave, Opera και Vivaldi πρέπει να παραμείνουν σε εγρήγορση και να εφαρμόσουν τα σχετικά patches μόλις γίνουν διαθέσιμα, καθώς οι ίδιοι μηχανισμοί GPU/ANGLE ενδέχεται να επηρεάζονται.
Δείτε επίσης: Chrome zero-day επέτρεψε την ανάπτυξη του Trinper backdoor
Γιατί αυτές οι ευπάθειες αποκτούν βαρύτητα
Στο σύγχρονο threat landscape, τα GPU bugs τείνουν να λειτουργούν ως σιωπηλοί επιταχυντές σε πιο σύνθετες επιθέσεις. Μπορούν να αξιοποιηθούν για side-channel επιθέσεις, memory corruption ή διαφυγή από απομονωμένες διεργασίες.
Αυτά τα σφάλματα δεν εμφανίζονται συχνά στα φώτα της δημοσιότητας, αλλά αποτελούν αγαπημένο στόχο σε "αθόρυβες" καμπάνιες εκμετάλλευσης — ιδιαίτερα όταν μπορούν να ενσωματωθούν σε exploit chains που ξεκινούν από phishing, συνεχίζουν με browser-based injection και καταλήγουν σε πλήρη έλεγχο του συστήματος.
Η νέα zero-day ευπάθεια, που διόρθωσε ο Chrome, υπενθυμίζει πόσο σημαντική είναι η τακτική και άμεση ενημέρωση των browsers, ειδικά σε περιβάλλοντα εργασίας ή οργανισμούς υψηλού ρίσκου. Οι zero-day επιθέσεις δεν είναι σενάρια επιστημονικής φαντασίας, αλλά μέρος της καθημερινότητας στον χώρο της κυβερνοασφάλειας — και τα προγράμματα περιήγησης αποτελούν την πρώτη γραμμή άμυνας ή ευπάθειας.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η Google διορθώνει κρίσιμη zero-day ευπάθεια στο Chrome
https://www.secnews.gr/654020/google-diorthonei-krisimi-zero-day-eupatheia-chrome/
Jul 16th 2025, 14:14
by Digital Fortress
Η Google κυκλοφόρησε σημαντική ενημέρωση ασφαλείας για το πρόγραμμα περιήγησης Chrome, για να αντιμετωπίσει έξι ευπάθειες, ανάμεσά τους και μια σοβαρή zero-day (CVE-2025-6558). Το συγκεκριμένο κενό ασφαλείας, με βαθμολογία CVSS 8,8/10, αφορά ανεπαρκή επικύρωση εισόδου στα υποσυστήματα ANGLE και GPU του browser, επιτρέποντας σε κακόβουλες ιστοσελίδες να ξεφύγουν από το sandbox.
Η ευπάθεια ανακαλύφθηκε από την Ομάδα Ανάλυσης Απειλών (Threat Analysis Group – TAG) της Google, με τους ερευνητές Clément Lecigne και Vlad Stolyarov να την αναφέρουν στις 23 Ιουνίου. Σύμφωνα με τη Google, το exploit επιτρέπει σε έναν απομακρυσμένο εισβολέα να παρακάμψει τα μέτρα απομόνωσης του Chrome (sandboxing) και να αποκτήσει άμεση πρόσβαση στο λειτουργικό σύστημα του θύματος — ενδεχομένως χωρίς κανένα κλικ, απλώς με την επίσκεψη σε μια κακόβουλη ιστοσελίδα.
Δείτε επίσης: Zero-day του Microsoft SQL Server αποκαλύπτει ευαίσθητα δεδομένα
Τι είναι το ANGLE και γιατί η ευπάθεια προκαλεί ανησυχία
Το ANGLE (Almost Native Graphics Layer Engine) λειτουργεί ως ενδιάμεσο στρώμα μεταξύ του rendering engine του Chrome και των graphics drivers. Τα τρωτά σημεία στη λειτουργική μονάδα μπορούν να επιτρέψουν στους εισβολείς να ξεφύγουν από το sandbox του Chrome, χρησιμοποιώντας low-level GPU operations, που τα προγράμματα περιήγησης συνήθως διατηρούν απομονωμένα. Αυτό επιτρέπει μια σπάνια αλλά ισχυρή διαδρομή για βαθύτερη πρόσβαση στο σύστημα.
Για τους περισσότερους χρήστες, ένα sandbox escape σημαίνει ότι η επίσκεψη σε έναν κακόβουλο ιστότοπο είναι αρκετή για να βγει από τη "φούσκα ασφαλείας" του προγράμματος περιήγησης και να αλληλεπιδράσει με το υποκείμενο σύστημα.
Αν και η Google δεν έχει δώσει λεπτομέρειες για τη φύση των επιθέσεων, η εμπλοκή της TAG αφήνει να εννοηθεί ότι πρόκειται για στοχευμένες επιθέσεις πιθανόν γεωπολιτικού ενδιαφέροντος.
Δείτε επίσης: Κινέζοι hackers στοχεύουν τη Γαλλία μέσω zero-day ευπαθειών Ivanti
Πέντε zero-days στο Chrome μέσα στο 2025
Το CVE-2025-6558 αποτελεί το πέμπτο zero-day που αναγνωρίζεται φέτος στο Chrome, μετά τα:
• CVE-2025-2783
• CVE-2025-4664
• CVE-2025-5419
• CVE-2025-6554 (επίσης αναφέρθηκε από τον Lecigne τον Ιούνιο)
Η αυξημένη συχνότητα τέτοιων ευπαθειών καταδεικνύει τη συνεχιζόμενη στοχοποίηση του Chrome από προηγμένους εισβολείς, αλλά και τη σημαντική προσπάθεια των ομάδων ασφαλείας της Google για τον εντοπισμό και την άμεση αντιμετώπισή τους.
Τι πρέπει να κάνουν οι χρήστες
Η Google συνιστά στους χρήστες να ενημερώσουν άμεσα το Chrome στις εκδόσεις 138.0.7204.157 ή .158 σε Windows και macOS και 138.0.7204.157 σε Linux. Η διαδικασία ενημέρωσης γίνεται από το μενού Ρυθμίσεις > Βοήθεια > Σχετικά με το Google Chrome, όπου ο χρήστης μπορεί να ελέγξει αν έχει την τελευταία έκδοση και να επανεκκινήσει τον browser.
Παράλληλα, χρήστες άλλων Chromium-based browsers όπως Microsoft Edge, Brave, Opera και Vivaldi πρέπει να παραμείνουν σε εγρήγορση και να εφαρμόσουν τα σχετικά patches μόλις γίνουν διαθέσιμα, καθώς οι ίδιοι μηχανισμοί GPU/ANGLE ενδέχεται να επηρεάζονται.
Δείτε επίσης: Chrome zero-day επέτρεψε την ανάπτυξη του Trinper backdoor
Γιατί αυτές οι ευπάθειες αποκτούν βαρύτητα
Στο σύγχρονο threat landscape, τα GPU bugs τείνουν να λειτουργούν ως σιωπηλοί επιταχυντές σε πιο σύνθετες επιθέσεις. Μπορούν να αξιοποιηθούν για side-channel επιθέσεις, memory corruption ή διαφυγή από απομονωμένες διεργασίες.
Αυτά τα σφάλματα δεν εμφανίζονται συχνά στα φώτα της δημοσιότητας, αλλά αποτελούν αγαπημένο στόχο σε "αθόρυβες" καμπάνιες εκμετάλλευσης — ιδιαίτερα όταν μπορούν να ενσωματωθούν σε exploit chains που ξεκινούν από phishing, συνεχίζουν με browser-based injection και καταλήγουν σε πλήρη έλεγχο του συστήματος.
Η νέα zero-day ευπάθεια, που διόρθωσε ο Chrome, υπενθυμίζει πόσο σημαντική είναι η τακτική και άμεση ενημέρωση των browsers, ειδικά σε περιβάλλοντα εργασίας ή οργανισμούς υψηλού ρίσκου. Οι zero-day επιθέσεις δεν είναι σενάρια επιστημονικής φαντασίας, αλλά μέρος της καθημερινότητας στον χώρο της κυβερνοασφάλειας — και τα προγράμματα περιήγησης αποτελούν την πρώτη γραμμή άμυνας ή ευπάθειας.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz