Η Google εξέδωσε επείγουσα προειδοποίηση, καθώς επιβεβαιώθηκαν ενεργές επιθέσεις που εκμεταλλεύονται μια νέα zero day ευπάθεια στον Chrome. Η εταιρεία ανακοίνωσε ότι «γνωρίζει πως υπάρχει exploit για το CVE-2025-13223 σε ενεργή χρήση», κάτι που καθιστά την ενημέρωση άμεσης προτεραιότητας για όλους τους χρήστες desktop.
Τι είναι το CVE-2025-13223 και γιατί θεωρείται τόσο σοβαρό
Η ευπάθεια, γνωστή ως Type Confusion στο V8, ανακαλύφθηκε από την Threat Analysis Group της Google την περασμένη εβδομάδα. Πρόκειται για σφάλμα που μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα να προκαλέσει heap corruption μέσω ειδικά κατασκευασμένης HTML σελίδας, ανοίγοντας τον δρόμο για εκτέλεση αυθαίρετου κώδικα, εξαγωγή δεδομένων ή εγκατάσταση κακόβουλου λογισμικού.
Η Google έσπευσε να εκδώσει διορθωτική ενημέρωση λόγω της σοβαρότητας της απειλής, ενώ όπως συμβαίνει συχνά, λεπτομέρειες για το σφάλμα παραμένουν περιορισμένες μέχρι να ενημερωθεί η πλειονότητα των χρηστών.
Η CISA εκδίδει προθεσμία ενημέρωσης – Υποχρεωτική αναβάθμιση από ομοσπονδιακούς υπαλλήλους
Η αμερικανική υπηρεσία κυβερνοάμυνας CISA επιβεβαίωσε την κρισιμότητα του προβλήματος, προσθέτοντας το CVE-2025-13223 στον κατάλογο Known Exploited Vulnerabilities (KEV) και ορίζοντας προθεσμία ενημέρωσης μέχρι τις 10 Δεκεμβρίου για τους ομοσπονδιακούς υπαλλήλους. Όσοι δεν μπορούν να ενημερώσουν εγκαίρως, καλούνται να σταματήσουν να χρησιμοποιούν τον Chrome.
Αν και η εντολή αφορά επίσημα το ομοσπονδιακό προσωπικό, η CISA τονίζει ότι η οδηγία αυτή «ωφελεί ολόκληρη την κοινότητα κυβερνοασφάλειας» και λειτουργεί ως σύσταση για όλες τις οργανώσεις και χρήστες.
Τι πρέπει να κάνουν άμεσα οι χρήστες Chrome
Η Google αναφέρει ότι η ενημέρωση κατεβαίνει αυτόματα, όμως απαιτείται επανεκκίνηση του browser για να ενεργοποιηθεί. Τα κανονικά tabs θα επανέλθουν, όμως τα ιδιωτικά Incognito tabs όχι.
Οι νέες εκδόσεις ασφαλείας είναι:
- Windows: 142.0.7444.175/.176
- Mac: 142.0.7444.176
- Linux: 142.0.7444.175
Παρότι η Google αναφέρει ότι η διάθεση «θα γίνει μέσα στις επόμενες ημέρες/εβδομάδες», η ενημέρωση είναι ήδη διαθέσιμη για τις περισσότερες χρήστες από σήμερα.
Γιατί αυτό το zero day είναι ιδιαίτερα επικίνδυνο
Εκτός από το ότι επιτρέπει απομακρυσμένη εκμετάλλευση, τέτοια σφάλματα μπορούν να συνδυαστούν με άλλες ευπάθειες ώστε να αποτελέσουν σημείο εισόδου σε μια συσκευή ή σε ολόκληρο δίκτυο, κάτι που αυξάνει σημαντικά τον κίνδυνο για οργανισμούς και ιδιώτες.
Το NIST προειδοποιεί ότι το σφάλμα «επιτρέπει πιθανή εκμετάλλευση heap corruption μέσω ειδικά κατασκευασμένης HTML σελίδας». Η ευπάθεια έχει βαθμολογηθεί ως υψηλής σοβαρότητας.
Η Google περιορίζει την πρόσβαση σε πληροφορίες μέχρι να ενημερωθούν οι χρήστες
Όπως σε κάθε zero day, η Google επισημαίνει ότι «η πρόσβαση στις λεπτομέρειες του σφάλματος θα παραμείνει περιορισμένη μέχρι να ενημερωθεί η πλειοψηφία των χρηστών» και ότι θα συνεχίσει να διατηρεί περιορισμούς στην πληροφόρηση αν η ευπάθεια αφορά και βιβλιοθήκες τρίτων που δεν έχουν ακόμη διορθωθεί.
Η ταχύτητα της Google στην ανάπτυξη και διάθεση patches είναι εντυπωσιακή, αλλά η προστασία του συστήματος εξαρτάται από το πόσο γρήγορα ο κάθε χρήστης θα πατήσει το κουμπί restart.
