Perşembe günü CISA, ABD federal ajanslarını, Chrome Web tarayıcısındaki yüksek şiddetli bir kırılganlıktan yararlanarak devam eden saldırılara karşı sistemlerini güvence altına almaları konusunda uyardı.
Solidlab güvenlik araştırmacısı Vsevolod Kokorin kusuru (CVE-2025-4664) keşfetti ve 5 Mayıs’ta çevrimiçi teknik ayrıntıları paylaştı. Google, Çarşamba günü yama yapmak için güvenlik güncellemelerini yayınladı.
Kokorin’in açıkladığı gibi, güvenlik açığı Google Chrome’un yükleyici bileşeninde yetersiz politika uygulanmasından kaynaklanmaktadır ve başarılı sömürü, uzak saldırganların kötü bir şekilde hazırlanmış HTML sayfaları aracılığıyla çapraz orijin verilerini sızdırmasına izin verebilir.
Kokorin, “Muhtemelen diğer tarayıcıların aksine, Chrome’un alt testlik isteklerinde bağlantı üstbilgisini çözdüğünü biliyorsunuz. Ama sorun nedir? Sorun, bağlantı başlığının bir yönlendirici politiği ayarlayabilmesidir. Güvensiz olmayan-url belirleyebilir ve tam sorgu parametrelerini yakalayabiliriz.”
“Sorgu parametreleri hassas veriler içerebilir – örneğin, OAuth akışlarında bu bir hesap devralmasına yol açabilir. Geliştiriciler nadiren bir 3. taraf kaynağından bir görüntü aracılığıyla sorgu parametrelerini çalma olasılığını düşünürler.”
Google, güvenlik açığının daha önce saldırılarda istismar edilip edilmediğini veya hala sömürülüyorsa açıklamasa da, bir güvenlik danışmanında, kamuya açık bir sömürü olduğu konusunda uyardı, bu da genellikle aktif sömürüye işaret ediyor.
Aktif olarak sömürülen
Bir gün sonra CISA, CVE-2025-4664’ün vahşi doğada istismar edildiğini doğruladı ve saldırılarda aktif olarak sömürülen güvenlik kusurlarını listeleyen bilinen sömürülen güvenlik açıkları kataloğuna ekledi.
Kasım 2021 Bağlayıcı Operasyonel Direktif (BOD) 22-01 tarafından zorunlu kılınan ABD Federal Sivil Yürütme Şubesi (FCEB) ajansları, sistemlerini potansiyel ihlallere karşı güvence altına almak için 7 Mayıs’a kadar üç hafta içinde krom kurulumlarını yamalılar.
Bu direktif yalnızca federal ajanslar için geçerli olsa da, tüm ağ savunucularına bu güvenlik açığını mümkün olan en kısa sürede yamaya öncelik vermeleri tavsiye edilir.
Siber güvenlik ajansı, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır.”
Bu, siber ihale saldırılarındaki Rus hükümet kuruluşlarını, medya kuruluşlarını ve eğitim kurumlarını hedeflemek için istismar edilen başka bir yüksek şiddetli krom krom sıfır gün hatasından (CVE-2025-2783) sonra Google tarafından yamalanan ikinci aktif olarak sömürülen Chrome sıfır günü.
Sıfır gün saldırılarını gören Kaspersky araştırmacıları, tehdit aktörlerinin Google Chrome’un sanal alan korumalarını atlamak ve hedefleri kötü amaçlı yazılımlarla enfekte etmek için CVE-2025-2783 istismarlarını kullandığını söyledi.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.