Καλωσορίσατε στον «Επικίνδυνο Δεκέμβριο». Επείγουσες ενημερώσεις κυκλοφόρησαν για iPhone και Android, με Google και Apple να εκδίδουν προειδοποιήσεις για ενεργές κυβερνοεπιθέσεις παγκοσμίως. Παράλληλα, η Google προειδοποιεί ότι οι χρήστες του Chrome βρίσκονται ήδη υπό επίθεση, διαθέτοντας έκτακτη ενημέρωση ασφαλείας για όλες τις πλατφόρμες.
Το κρίσιμο κενό ασφαλείας CVE-2025-14174
Η Google ενημέρωσε τον Chrome τόσο γρήγορα που αρχικά δεν υπήρχε καν CVE tag, κάτι σχεδόν πρωτοφανές. Πλέον υπάρχει:
«Η Google γνωρίζει ότι υπάρχει exploit για το CVE-2025-14174 που χρησιμοποιείται ήδη ενεργά». Το exploit έχει γνωστοποιηθεί τόσο από την Apple όσο και από τη Google.
Στις 12 Δεκεμβρίου, η αμερικανική υπηρεσία κυβερνοάμυνας CISA πρόσθεσε την απειλή στον κατάλογο Known Exploited Vulnerability (KEV). Η CISA προειδοποιεί ότι «το Google Chromium περιέχει ευπάθεια out-of-bounds memory access στο ANGLE, η οποία θα μπορούσε να επιτρέψει σε απομακρυσμένο επιτιθέμενο να εκτελέσει out-of-bounds memory access μέσω ειδικά διαμορφωμένης HTML σελίδας».
Δεν αφορά μόνο τον Chrome – Επηρεάζεται και ο Microsoft Edge
Το πρόβλημα δεν περιορίζεται στον Chrome.
«Αυτή η ευπάθεια θα μπορούσε να επηρεάσει πολλούς web browsers που βασίζονται στο Chromium». Η Microsoft έχει ήδη ενημερώσει τον Edge, προειδοποιώντας ότι η ευπάθεια «έχει αναφερθεί από την ομάδα του Chromium ως exploit που χρησιμοποιείται ήδη ενεργά».
Προειδοποίηση CISA και άμεση σύσταση για ενημέρωση
Η αποστολή της CISA είναι να λειτουργεί «προς όφελος της κοινότητας κυβερνοασφάλειας και των υπευθύνων δικτύων, βοηθώντας κάθε οργανισμό να διαχειρίζεται καλύτερα τις ευπάθειες και να παρακολουθεί τη δραστηριότητα απειλών». Παρότι η δεσμευτική οδηγία για ενημέρωση έως τις 2 Ιανουαρίου αφορά ομοσπονδιακούς υπαλλήλους, οι προειδοποιήσεις της ισχύουν για όλους.
Πιθανή σύνδεση με εμπορικό spyware
Η συγκεκριμένη απειλή στον Chrome θεωρείται πιθανό να σχετίζεται με εμπορικό spyware, ένα είδος exploit που πλέον πλήττει συστηματικά τόσο την Apple όσο και τη Google. Η CISA επισημαίνει ότι «αυτού του τύπου οι ευπάθειες αποτελούν συχνό σημείο επίθεσης για κακόβουλους κυβερνοπαίκτες και ενέχουν σημαντικούς κινδύνους για ομοσπονδιακές υποδομές».
Η υπηρεσία τονίζει ότι, παρότι η οδηγία της είναι δεσμευτική μόνο για κρατικούς οργανισμούς, «παροτρύνει έντονα όλους τους οργανισμούς να μειώσουν την έκθεσή τους σε κυβερνοεπιθέσεις, δίνοντας προτεραιότητα στην άμεση αποκατάσταση των ευπαθειών του KEV Catalog».
Το μήνυμα είναι σαφές: ενημερώστε άμεσα τον Google Chrome, τον Microsoft Edge και κάθε άλλο Chromium-based browser.
