Chrome’da navbatdagi zero-day: V8 dvijogidagi xavfli xato faol ekspluatatsiya qilinmoqda

Dunyo bo‘yicha eng ko‘p qo‘llaniladigan brauzer Chrome yana kritik zaiflik bilan yuzlashdi. Google o‘z foydalanuvchilarini himoya qilish maqsadida shoshilinch ravishda xavfsizlik yangilanishi chiqardi. Sababi — V8 JavaScript dvijogida aniqlangan type confusion turidagi zero-day xatoliklar allaqachon kiberjinoyatchilar tomonidan ekspluatatsiya qilinmoqda.

CVE-2025-13223: bir haftadan kam vaqt ichida ekspluatatsiyaga aylangan xato

Eng xavotirli zaiflik — CVE-2025-13223 — 2025-yil 12-noyabrda Google TAG (Threat Analysis Group) mutaxassisi Klément Lecigne tomonidan aniqlangan. Zero-day darajasiga ega bu xato allaqachon real hujumlarda qo‘llanilayotgani tasdiqlandi. Bu esa hujumchilar qurbon qurilmasida hech qanday ruxsatsiz ixtiyoriy kod bajarishi, shuningdek brauzer sandbox himoyasini chetlab o‘tishi mumkinligini bildiradi.

Chrome’ning Windows va Linux uchun 142.0.7444.175, Mac uchun esa 142.0.7444.176 versiyalarida joylashtirilgan yamoq aynan mana shu zaiflikni bartaraf etadi.

Type confusion — brauzerlar uchun eng xavfli dushman

Type confusion xatolari V8 dvijogi ma’lumotlar turini noto‘g‘ri talqin qilganida yuzaga keladi. Ko‘rinishdan sodda bo‘lib tuyulgan ushbu mexanizm hela-harakat:

• xotira buzilishiga olib keladi,
• sandboxni chetlab o‘tish imkonini beradi,
• masofadan turib kod bajarishga sharoit yaratadi,
• zararli dastur o‘rnatish yoki maxfiy ma’lumotlarni o‘g‘irlash imkonini ochadi.

Aynan shu sababli V8 asosidagi Chrome, Edge, Brave kabi ko‘plab brauzerlar kiberjinoyatchilar uchun jozibador nishonga aylangan.

Ikkinchi zaiflik: CVE-2025-13224

Google o‘zining ichki Big Sleep fuzzing vositasi yordamida aniqlangan yana bir xato — CVE-2025-13224 —ni ham yamoqladi. Mazkur vositalar, jumladan AddressSanitizer, libFuzzer va boshqa dinamik tahlil tizimlari Google’ning ilg‘or mudofaa qatlamlarini shakllantiradi. Bu mexanizmlar brauzerlarni real hujumchilardan oldin aniqlanishi qiyin bo‘lgan xatolardan himoya qiladi.

TAG ishtiroki — yuqori darajadagi tahdidga ishora

TAG odatda davlat tomonidan qo‘llab-quvvatlanadigan APT guruhlarini kuzatadi. Ularning bunday zaiflikni aniqlash jarayonida ishtiroki mazkur zero-day yuqori darajadagi josuslik kampaniyalarida qo‘llanilgan bo‘lishi mumkinligini ko‘rsatadi.

So‘nggi yillarda APT guruhlari zero-day zanjirlaridan foydalanib:

• davlat tizimlari,
• yirik korporatsiyalar,
• yetkazib berish zanjiri (supply chain),
• diplomatik muassasalar

ustidan yashirin nazorat o‘rnatishga urinishda davom etmoqda.

Chrome’da ushbu zaiflikning aniqlanishi va bir haftadan kam vaqt ichida ekspluatatsiya qilinishi, global darajadagi kiberhujumlarning qanchalik tez rivojlanayotganidan dalolat beradi.

Nima qilish kerak?

Google barcha foydalanuvchilarga imkon qadar tezroq yangilanishni o‘rnatishni tavsiya qilmoqda. Eng muhim choralar:

• Chrome avtomatik yangilanishini yoqib qo‘yish,
• noma’lum havolalarni ochmaslik,
• shubhali saytlar va kengaytmalarni ishlatmaslik,
• mobil qurilmalar va kompyuterlarni muntazam skanerdan o‘tkazish.

Chrome dunyo bo‘lib 65% dan ortiq brauzerlar tomonidan qo‘llaniladi. Shu sababli, uni nishonga olgan har qanday zero-day — milliardlab foydalanuvchilar uchun xavf tug‘dirishi tabiiy.

CVE-2025-13223 zero-day zaifligi — kiberxavfsizlikning doimiy o‘zgaruvchan maydon ekanining yaqqol isboti. Bugungi kunda, brauzer faqat internet oyna emas, balki bank operatsiyalari, ish hujjatlari, shaxsiy yozishmalar, bulut xizmatlari va kundalik hayotning ajralmas qismidir. Shunday bir paytda, Chrome’dagi kichik xato ham global miqyosdagi xavfsizlik muammosiga aylanishi mumkin.

Shuning uchun foydalanuvchilar va tashkilotlar o‘z tizimlarini doimiy ravishda yangilash, tahdidlar haqida xabardor bo‘lish va himoyaning barcha bosqichlarini mustahkamlashlari zarur.