andranik123 – stock.adobe.com
Aktivno iskorišćena ranjivost zbrke tipa u Google Chrome Web pretraživaču potreban je neposredna pažnja od korisnika
Od
- Alex Scroxton,Sigurnosni urednik
Objavljeno: 02. jul 2025. 17:27
Google je gurnuo hitno ažuriranje na široko korišten hromirani pretraživač nakon što je identificirao aktivno iskorištavane ranjivosti nula dana u proizvodu, četvrti je pronađen do sada 2025. godine.
Pratite kao CVE-2025-6554, opisana je kao neispunjavanje tipa u Google razvijenom V8 JavaScript motoru koji sastavlja i izvršava JavaScript kod u preglednicima na hromima.
Identificirano je u Clément Analys Group-a za analizu Google-a (Tag)) 25. juna, a narednog dana je utvrdio promjenom konfiguracije koja je do sada izbacila na stabilan kanal na svim platformama.
Neostalo je u redu, američka baza ranjivosti (NVD) – koja djeluje Nacionalni institut za standarde i tehnologiju (NIST) – rekao je da bi ranjivost velike težine mogla omogućiti daljinskim napadačima da izvrši proizvoljne akcije čitanja ili napisane po posebno izrađenom HTML stranu.
U laymanovim terminima znači ugroženi hromirani korisnici u posjeti napadačkim nadzorom web stranice mogu biti izloženi napadima u kojima prijetnja akteri instaliraju zlonamjerni softver ili poduzimaju druge zlonamjerne akcije, kao što su zaobilazeće sigurnosne radnje za provođenje dublje bočnog pokreta u njihovom okruženju ili pristupu i krađu povjerljivih podataka.
“Google je svjestan da eksploatacija za CVE-2025-6554 postoji u divljini”, rekao je Google u njegovoj obavijesti o ažuriranju.
Međutim, s obzirom na ažuriranje može potrajati neko vrijeme da bi se filtriralo svim Chrome korisnicima, Google je dao više tehničke detalje o tom pitanju izvan činjenice da se čini da se eksploatacija koristi u cyber napadima. Imajte na umu da je Google oznaka često prati i izvještava o cyber aktivnostima na državnoj državi, ali to nije nužno pokazatelj pripisivanja u bilo kojem takvom prijetnjoj nexusu.
Chrome korisnici mogu provjeriti da li je njihov pretraživač ažuriran navigacijom u meni za pomoć putem ikone s tri tačke u gornjem desnom uglu prozora preglednika, a zatim kliknite na Google Chrome. U većini slučajeva, to bi trebalo automatski pokrenuti ažuriranje ako još nije primijenjeno.
Koje su greške u konfuziji tipa?
Ranjivost za zbrku tipa nastaje kada program napravi netačnu pretpostavku o vrsti resursa objekta i pokušava pristupiti ili ga koristiti kao da je pretpostavljeni tip. To ubacuje greške i nepoželjna ponašanja poput sudara, korupcije podataka i pogrešnog pristupa memoriji ili u ovom slučaju omogućavajući proizvoljni izvršenje koda.
Napadači mogu iskoristiti ove uvjete pišući specifični JavaScript kôd za pokretanje netačnih pretpostavki tipa unutar V8.
Ove greške imaju tendenciju da se pojave na C i C ++ jezicima kodiranja – Chrome i V8 su napisani u C ++ – koji čine i sa mehanizmima sigurnosti memorije, ali u skladu sa Socradarom i u PHP i Perl.
Pored web preglednika kao što su Chrome, Firefox ili Safari, oni se mogu pojaviti i u PDF čitaocima, drugim JavaScript motorima osim V8 ili komponenti operativnog sistema.
Programeri mogu izbeći uvođenje mana za zbrke tipa u svoj softver provođenjem odgovarajuće vrste provjere u Compiletu i izvođenju, koristeći provjere vremena tipa, koji se fokusiraju na tipku tipa i koristeći statičke alate za otkrivanje potencijalnih problema s linijama.
Pročitajte više o sigurnosti web aplikacije
-
10 Jezici programskih programskih programskih programa treba znati
Napisao: Darcy je odbio
-
Google otkriva 2 ranjivost na nulu za manje od tjedan dana
Napisao: Arielle Waldman
-
Preglednik bez glave
Napisao: Andy Patrizio
-
OpenJS Fondacija: Node.js 21 stiže
Napisao: Adrian Bridgwater