Chromium’da xavfli 0-day: CISA brauzer foydalanuvchilarini zudlik bilan yangilanishga chaqirmoqda

Kiberxavfsizlik sohasida yana jiddiy ogohlantirish yangradi. AQShning Cybersecurity and Infrastructure Security Agency (CISA) tashkiloti Google Chromium asosidagi brauzerlarda faol ekspluatatsiya qilinayotgan o‘ta xavfli 0-day zaiflik aniqlanganini ma’lum qildi va uni rasman Known Exploited Vulnerabilities (KEV) ro‘yxatiga kiritdi.

Mazkur zaiflik Google Chromium dvijogining grafik qatlami — ANGLE komponentida aniqlangan bo‘lib, CVE-2025-14174 identifikatori ostida qayd etilgan.

Zaiflik mohiyati: bitta sahifa — to‘liq nazorat

Mutaxassislar ta’kidlashicha, CVE-2025-14174 xotira chegarasidan tashqariga chiqish (out-of-bounds memory access) turidagi xatolik hisoblanadi. Hujumchi maxsus tayyorlangan HTML sahifa orqali brauzerni noto‘g‘ri grafik render qilishga majbur qilishi mumkin. Natijada:

  • xotira buzilishi yuz beradi,
  • brauzer sandbox mexanizmlari chetlab o‘tilishi mumkin,
  • va eng xavflisi — masofadan turib ixtiyoriy kod bajarilishi (RCE) ehtimoli paydo bo‘ladi.

Bu esa oddiy foydalanuvchining birgina zararli sahifani ochishi bilan butun tizim xavf ostida qolishini anglatadi.

Nega bu zaiflik ayniqsa xavfli?

ANGLE — Chromium’ning OpenGL ES’ni brauzer muhiti bilan bog‘lovchi muhim interfeysi hisoblanadi. Undagi noto‘g‘ri chegaralarni tekshirish mexanizmi hujumchilarga grafik jarayon orqali xotiraga aralashish imkonini bergan.

National Vulnerability Database (NVD) ushbu zaiflikni yuqori xavflilik darajasi bilan baholagan bo‘lib, dastlabki CVSS v3.1 bali — 8.8 ni tashkil etadi. Bu ko‘rsatkich real hujumlar uchun juda qulay sharoit mavjudligini anglatadi.

Qaysi brauzerlar xavf ostida?

Mazkur 0-day deyarli butun internetni qamrab olgan Chromium ekotizimiga ta’sir qiladi. Jumladan:

  • Google Chrome (131.0.6778.200 dan oldingi versiyalar)
  • Microsoft Edge
  • Opera va boshqa Chromium asosidagi brauzerlar

Hozircha ochiq IoC (Indicators of Compromise) e’lon qilinmagan bo‘lsa-da, mutaxassislar bu zaiflik phishing, malvertising (reklama orqali zararli hujumlar) va drive-by exploit zanjirlarida faol qo‘llanishi mumkinligini ta’kidlashmoqda.

Rasmiy choralar va talablar

CISA mazkur holatni jiddiy deb baholab, Binding Operational Directive 22-01 doirasida AQSh federal idoralariga 2026-yil 2-yanvargacha quyidagi choralarni ko‘rishni majburiy qilib belgiladi:

  • zaif brauzerlarni zudlik bilan yangilash
  • yoki ularni foydalanishdan butunlay chiqarish

Bu talab tahdid real va amalda ekspluatatsiya qilinayotganini yana bir bor tasdiqlaydi.

Yangilanishlar va himoya

Google ushbu muammoni 2025-yil 10-dekabr kuni Stable kanal orqali bartaraf etdi:

  • Chrome 131.0.6778.201
  • Edge 131.0.3139.95

Kompaniyalar foydalanuvchilarga yangilanishdan so‘ng brauzerni qayta ishga tushirishni qat’iy tavsiya qilmoqda. Chunki patch faqat relaunch’dan keyin kuchga kiradi.

Xulosa: bitta zaiflik — millionlab qurilmalar

Bugungi kunda ish stoli brauzerlarining 70 foizdan ortig‘i Chromium asosida ishlaydi. Shu sababli CVE-2025-14174 kabi 0-day zaifliklar global miqyosdagi kiberxavf hisoblanadi.

Mutaxassislar va tashkilotlar uchun asosiy tavsiyalar:

  • avtomatik yangilanishlarni majburiy yoqish
  • eski brauzer versiyalarini aniqlash va bartaraf etish
  • brauzerda g‘ayritabiiy grafik xatolar va qulashlarni monitoring qilish

Zero-day hujumlar soni oshib borayotgan bir paytda, tezkor yangilanish — eng kuchli himoya ekanini ushbu holat yana bir bor isbotladi.