Η CISA προειδοποιεί για ευπάθειες 0-ημέρας του Chrome που εκμεταλλεύονται σε επιθέσεις

Μια επείγουσα προειδοποίηση σχετικά με δύο εξαιρετικά κρίσιμες ευπάθειες zero-day που επηρεάζουν το Google Chrome και τα σχετικά προϊόντα.

Αυτά τα ελαττώματα έχουν προστεθεί επίσημα στον κατάλογο γνωστών εκμεταλλευόμενων ευπαθειών (KEV) της CISA, υποδεικνύοντας ότι κακόβουλοι χάκερ τα εκμεταλλεύονται ενεργά στη φύση.

Καθώς η προθεσμία για την εφαρμογή ενημερώσεων κώδικα πλησιάζει γρήγορα οι ομοσπονδιακοί φορείς, οι οργανισμοί και οι μεμονωμένοι χρήστες καλούνται να ενημερώσουν άμεσα τα προγράμματα περιήγησης και τις επηρεαζόμενες εφαρμογές τους. Τα δύο πρόσφατα καταγεγραμμένα ελαττώματα ασφαλείας επηρεάζουν τα βασικά στοιχεία του κινητήρα Chromium.

Ανάλυση τρωτών σημείων

CVE-2026-3909 (Google Skia Out-of-Bounds Write): Το Skia είναι η βιβλιοθήκη 2D γραφικών που χρησιμοποιείται από τον Chrome και άλλες πλατφόρμες.

Αυτή η ευπάθεια εμφανίζεται όταν το λογισμικό εγγράφει δεδομένα πέραν των προβλεπόμενων ορίων μνήμης, επιτρέποντας σε έναν απομακρυσμένο εισβολέα να έχει πρόσβαση στη μνήμη εκτός ορίων απλώς εξαπατώντας έναν χρήστη να επισκεφτεί μια δημιουργημένη σελίδα HTML.

CVE-2026-3910 (Ακατάλληλος περιορισμός Google Chromium V8): Το V8 είναι η μηχανή JavaScript που τροφοδοτεί το Chromium. Αυτό το ελάττωμα περιλαμβάνει ακατάλληλους περιορισμούς στις λειτουργίες μέσα σε μια προσωρινή μνήμη.

Όπως και η ευπάθεια Skia, ένας εισβολέας μπορεί να χρησιμοποιήσει μια κακόβουλη σελίδα HTML για να ενεργοποιήσει το ελάττωμα, επιτρέποντάς του ενδεχομένως να εκτελέσει αυθαίρετο κώδικα μέσα σε ένα περιορισμένο περιβάλλον sandbox.

Και οι δύο αυτές ευπάθειες βασίζονται σε μεγάλο βαθμό στην κοινωνική μηχανική ή σε παραβιασμένους ιστότοπους για να πετύχουν. Οι φορείς απειλών συνήθως παρασύρουν τα θύματα σε μια επιβλαβή ιστοσελίδα ή παραβιάζουν έναν νόμιμο ιστότοπο για να φιλοξενήσουν τις ειδικά κατασκευασμένες σελίδες HTML τους.

Όταν το ευάλωτο πρόγραμμα περιήγησης ενός θύματος φορτώνει τη σελίδα που έχει παραβιαστεί, η εκμετάλλευση ενεργοποιείται αμέσως στο παρασκήνιο.

Η CISA λέει ότι η χρήση ενεργού ransomware δεν έχει επιβεβαιωθείαλλά αυτά τα ελαττώματα επιτρέπουν την εκτέλεση κώδικα και την πρόσβαση στη μνήμη, καθιστώντας τα εξαιρετικά πολύτιμα.

Οι εγκληματίες του κυβερνοχώρου και οι ομάδες απειλών που χρηματοδοτούνται από το κράτος χρησιμοποιούν συνήθως αυτούς τους τύπους ευπάθειας μνήμης για να αναπτύξουν κακόβουλο λογισμικό ή να κλέψουν ευαίσθητα δεδομένα.

Η CISA έχει δώσει εντολή σε όλες τις υπηρεσίες του Ομοσπονδιακού Πολιτικού Εκτελεστικού Κλάδου (FCEB) να επιδιορθώσουν αυτά τα τρωτά σημεία έως τις 27 Μαρτίου 2026.

Αν και αυτή η δεσμευτική επιχειρησιακή οδηγία ισχύει άμεσα για κρατικούς φορείς, ιδιωτικούς οργανισμούς και μεμονωμένους χρήστες, οι ιδιωτικοί οργανισμοί και οι μεμονωμένοι χρήστες θα πρέπει να αντιμετωπίζουν αυτό το χρονοδιάγραμμα ως κρίσιμη προτεραιότητα.

Για να προστατέψετε τα συστήματά σας από αυτές τις επιθέσεις zero-day, ακολουθήστε αυτά τα βήματα μετριασμού:

• Ενημερώστε αμέσως το Google Chrome στην πιο πρόσφατη διαθέσιμη έκδοση.
• Βεβαιωθείτε ότι άλλα προγράμματα περιήγησης που βασίζονται στο Chromium, όπως το Microsoft Edge και το Opera, είναι πλήρως ενημερωμένα.
• Εφαρμόστε τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας για συσκευές Android, ChromeOS και εφαρμογές Flutter.
• Ακολουθήστε τις ισχύουσες οδηγίες CISA BOD 22-01, εάν ο οργανισμός σας χρησιμοποιεί υπηρεσίες cloud που συνδέονται με αυτά τα ευάλωτα προϊόντα.
• Διακόψτε εντελώς τη χρήση των επηρεαζόμενων προϊόντων εάν δεν μπορείτε να εφαρμόσετε τις ενημερώσεις κώδικα ασφαλείας που παρέχονται από τον προμηθευτή.

Η άμεση επιδιόρθωση είναι η πιο αποτελεσματική άμυνα κατά της ενεργητικής εκμετάλλευσης. Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν συνεχώς τις συμβουλές των προμηθευτών και να προωθούν ενημερώσεις στα δίκτυά τους μόλις γίνουν διαθέσιμες.