Google, Çarşamba akşamı Chrome Web tarayıcısı için bir güncelleme yayınladı. Saldırganların doğada zaten istismar ettiği sıfır günlük güvenlik kaybını bildirir. Chrome kullanıyorsanız, hatanın doğru sürümünün zaten yüklü ve etkin olup olmadığını hızlı bir şekilde kontrol etmeniz gerekir.
Sürümün çözünürlüğünde, Google geliştiricisi, Windows altındaki Chrome Mojo bileşeninde tarihlenmeyen durumlarda yanlış bir tutamaç atandığını yazıyor (CVE-2025-2783, CVSS yok, Google'a göre risk “yüksek“). Bir tutamaç, bu durumda, saldırganlar tarafından yanlış kullanılabilecek ve Google'ın sürümünde de bahsettiklerini zaten yapabilen yanlış şeye kaynaklara erişim sağlar:” Google, CVE 2025-2783 için bir istismar olduğunu biliyor.
Kaspersky'den sıfır gün boşluk istismarı ortaya çıktı
Kaspersky araştırmacıları sıfır gün boşluğunu keşfettiler. Bir blog yayınında, “Forumtroll Operasyon İşlemi” belgesinin gözlemlediği saldırıları açıklayın. Sonuç olarak, saldırı sizi uluslararası ekonomik bilimler ve politikalar forumuna davet eden ve bir program ve kayıt programına yol açan bir kimlik avı ile başlar. Bununla birlikte, Chrome'un web tarayıcısına her iki bağlantı, kurbanların daha fazla etkileşimi olmadan Windows altında kötü amaçlı yazılım enfeksiyonuna yol açar.
Kaspersky henüz zayıf nokta hakkındaki ayrıntıları açıklamak istemiyor, ancak hatayı krom ve Windows işletim sistemi arasında mantıksal bir kusur olarak tanımlıyor, bu da krom kum havuzundan korunmaya izin veriyor. Gözlemlenen saldırılar özellikle Rus medyasının temsilcilerine, eğitim kurumlarının çalışanlarına ve devlet kuruluşlarına yönelikti. Kaspersky, saldırganların kurbanları gözetlemek istediğini varsayar. Kimlik avı e -mail'lerinin bağlantıları artık aktif değildir, ancak saldırganlar istismarları başka yerlerde herhangi bir zamanda kullanabilirler.
Geçerli hatanın doğru sürümleri Windows için Chrome 134.0.6998.177/.178'dir. Genişletilmiş kararlı sürüm, Windows altında 134.0.698.178 ile güncellenir.
Sürüm testi
Sürüm iletişim kutusu, Chrome'un zaten güncel olup olmadığını ortaya çıkarır. Adres çubuğunun sağına yığılmış üç noktanın arkasındaki tarayıcı menüsüne tıkladıktan sonra açılır. Google Chrome üzerinden “yardım” yoluyla devam ediyor. Güncelleme henüz yüklenmemişse, iletişim kutusu yeni yazılımı etkinleştirmek için gerekli olan tarayıcının güncellemesini ve ardından yeniden başlatılmasını sunar.
Chrome sürüm iletişim kutusu etkin yazılım standını gösterir ve gerekirse güncelleme işlemini başlatır.
(Resim: Ekran görüntüsü / DMK)
Linux altında, dağıtım yazılımının yönetimi genellikle güncellenir, ancak boşluk Windows altında gerçekleştiğinden, burada bir güncelleme acil değildir. Microsoft Edge gibi Chromium'a dayanan diğer web tarayıcıları kısa süre içinde kullanıcıları zamanında kullanması gereken bir güncelleme sağlayacaktır.
Tam bir hafta önce Google, Chrome tarayıcısı için önemli bir güncelleme yayınlamıştı. Kritik bir risk olarak sınıflandırılan bir güvenlik boşluğunu doldurdu.
(DMK)
Sürümün çözünürlüğünde, Google geliştiricisi, Windows altındaki Chrome Mojo bileşeninde tarihlenmeyen durumlarda yanlış bir tutamaç atandığını yazıyor (CVE-2025-2783, CVSS yok, Google'a göre risk “yüksek“). Bir tutamaç, bu durumda, saldırganlar tarafından yanlış kullanılabilecek ve Google'ın sürümünde de bahsettiklerini zaten yapabilen yanlış şeye kaynaklara erişim sağlar:” Google, CVE 2025-2783 için bir istismar olduğunu biliyor.
Kaspersky'den sıfır gün boşluk istismarı ortaya çıktı
Kaspersky araştırmacıları sıfır gün boşluğunu keşfettiler. Bir blog yayınında, “Forumtroll Operasyon İşlemi” belgesinin gözlemlediği saldırıları açıklayın. Sonuç olarak, saldırı sizi uluslararası ekonomik bilimler ve politikalar forumuna davet eden ve bir program ve kayıt programına yol açan bir kimlik avı ile başlar. Bununla birlikte, Chrome'un web tarayıcısına her iki bağlantı, kurbanların daha fazla etkileşimi olmadan Windows altında kötü amaçlı yazılım enfeksiyonuna yol açar.
Kaspersky henüz zayıf nokta hakkındaki ayrıntıları açıklamak istemiyor, ancak hatayı krom ve Windows işletim sistemi arasında mantıksal bir kusur olarak tanımlıyor, bu da krom kum havuzundan korunmaya izin veriyor. Gözlemlenen saldırılar özellikle Rus medyasının temsilcilerine, eğitim kurumlarının çalışanlarına ve devlet kuruluşlarına yönelikti. Kaspersky, saldırganların kurbanları gözetlemek istediğini varsayar. Kimlik avı e -mail'lerinin bağlantıları artık aktif değildir, ancak saldırganlar istismarları başka yerlerde herhangi bir zamanda kullanabilirler.
Geçerli hatanın doğru sürümleri Windows için Chrome 134.0.6998.177/.178'dir. Genişletilmiş kararlı sürüm, Windows altında 134.0.698.178 ile güncellenir.
Sürüm testi
Sürüm iletişim kutusu, Chrome'un zaten güncel olup olmadığını ortaya çıkarır. Adres çubuğunun sağına yığılmış üç noktanın arkasındaki tarayıcı menüsüne tıkladıktan sonra açılır. Google Chrome üzerinden “yardım” yoluyla devam ediyor. Güncelleme henüz yüklenmemişse, iletişim kutusu yeni yazılımı etkinleştirmek için gerekli olan tarayıcının güncellemesini ve ardından yeniden başlatılmasını sunar.
Chrome sürüm iletişim kutusu etkin yazılım standını gösterir ve gerekirse güncelleme işlemini başlatır.
(Resim: Ekran görüntüsü / DMK)
Linux altında, dağıtım yazılımının yönetimi genellikle güncellenir, ancak boşluk Windows altında gerçekleştiğinden, burada bir güncelleme acil değildir. Microsoft Edge gibi Chromium'a dayanan diğer web tarayıcıları kısa süre içinde kullanıcıları zamanında kullanması gereken bir güncelleme sağlayacaktır.
Tam bir hafta önce Google, Chrome tarayıcısı için önemli bir güncelleme yayınlamıştı. Kritik bir risk olarak sınıflandırılan bir güvenlik boşluğunu doldurdu.
(DMK)