CISA Google Chrome’dagi yangi 0-day zaiflik haqida ogohlantirdi: hujumlar allaqachon boshlandi
AQShning Kiberxavfsizlik va infratuzilmani muhofaza qilish agentligi (CISA) Google Chrome brauzerida aniqlangan va real hujumlarda ekspluatatsiya qilinayotgan yangi 0-day zaiflik — CVE-2025-13223 yuzasidan shoshilinch ogohlantirish chiqardi. Bu bugungi kunda dunyodagi eng ommabop brauzer foydalanuvchilarini jiddiy xavf ostiga qo‘yayotgan holatlardan biridir.
Zaiflikning mohiyati: V8 dvijokidagi xato millionlab foydalanuvchini xavf ostiga qo‘ymoqda
Mazkur zaiflik Google Chrome’ning asosiy komponenti — V8 JavaScript dvijogida aniqlangan bo‘lib, CWE-843: Type Confusion turiga mansub. Type confusion xatolari brauzerning ma’lumot turlarini noto‘g‘ri talqin qilishiga olib keladi va natijada heap xotirasining buzilishi, shuningdek, hujumchi tomonidan masofadan kod bajarilishi (RCE) ehtimolini yuzaga keltiradi.
Google mutaxassislari zaiflikni aniqlab, 2025-yil 19-noyabr kuni barqaror (Stable) kanal uchun chiqargan yangilanishda tuzatdi. Ta’sirlangan barcha Chrome versiyalari:
131.0.6778.72 dan avvalgi versiyalar.
Google va CISA ma’lumotlariga ko‘ra, ushbu zaiflik hozirda faol ekspluatatsiya qilinmoqda, ammo hujum kampaniyalari haqida batafsil ma’lumotlar oshkor etilmagan.
CISA zaiflikni KEV (ma’lum ekspluatatsiya qilingan zaifliklar) ro‘yxatiga kiritdi
CISA zaiflikni aniqlangan kunning o‘zida o‘zining Known Exploited Vulnerabilities (KEV) katalogiga qo‘shdi. AQSh federal agentliklariga:
- 2025-yil 10-dekabrgacha yamalarni qo‘llash,
- Yangilanish imkoni bo‘lmasa, xizmatni vaqtincha to‘xtatish,
- BOD 22-01 direktivasiga muvofiq zero-trust tamoyillarini kuchaytirish
kabi qat’iy talablar qo‘yildi.
Bu esa zaiflik darajasining naqadar jiddiy ekanini yaqqol ko‘rsatadi.
Kimlar zarar ko‘rishi mumkin?
Zaiflik nafaqat Google Chrome, balki unga asoslangan boshqa brauzerlarga ham ta’sir qiladi:
- Microsoft Edge
- Brave
- Opera
- Chromium’ga asoslangan boshqa ko‘plab yechimlar
Ushbu nuqson brauzerning renderlash mexanizmini nishonga olgani sababli, hujumchi faqatgina qurbonni maxsus tayyorlangan zararli saytga tashrif buyurishga majbur qilishi kifoya — qo‘shimcha harakatlar talab qilinmaydi.
CVE-2025-13223 tavsifi
| Parametr | Tafsilot |
|---|---|
| Ta’sirlangan mahsulotlar | Chrome 131.0.6778.72 dan past versiyalar, Chromium-based brauzerlar |
| Ta’siri | Heap xotiraning buzilishi orqali masofadan kod bajarilishi |
| Ekspluatatsiya sharti | Zararli saytga tashrif buyurish, qo‘shimcha amal talab qilinmaydi |
| CVSS | 8.8 — yuqori xavf |
Mutaxassislar hozircha bu zaiflikni ransomware kampaniyalari bilan bog‘lamagan bo‘lsa-da, phishing va supply chain hujumlarining keskin oshishi mumkinligini ta’kidlashmoqda.
Global tahdid: Chrome’ning 3 milliarddan ortiq foydalanuvchisi xavf ostida
Chrome dunyoning eng ko‘p ishlatiladigan brauzeri hisoblanadi. Uning ulkan foydalanuvchi bazasi sababli, bitta zaiflikning o‘zi ham global miqyosdagi ommaviy hujumlarga zamin yaratishi mumkin.
Tahlilchilarning qayd etishicha, V8 dvijogi kodining murakkab tuzilmasi zero-day hujumlari ehtimolini oshirib borayotganini ko‘rsatmoqda.
Ushbu hodisa yana bir bor shuni isbotladi:
Brauzer — foydalanuvchi va internet o‘rtasidagi asosiy eshik. Aynan shu sababli, u eng ko‘p nishonga olinadigan komponentga aylanmoqda.
Mutaxassislar tavsiyasi: darhol yangilang va xavfsizlikni kuchaytiring
Google Chrome yangilanishi hozirda barcha OS’lar uchun mavjud. Tashkilot va oddiy foydalanuvchilar quyidagilarni bajarishi shart:
1. Chrome va Edge brauzerlarini darhol yangilang
Avtomatik yangilanish o‘chirilgan bo‘lsa — qo‘lda tekshiring.
2. Tarmoq bo‘ylab skanerlash o‘tkazing
- Logs
- Proxy trafik
- Xost faoliyati
bo‘yicha tekshiruv muhim.
3. Zero-trust modeliga amal qiling
- Kam imtiyozlar siyosati
- Xodimlarni treningdan o‘tkazish
- Web-filteringni kuchaytirish
4. Eslatma: Yopilmagan tizimlar — hujumchilarning tayyor nishoni
Google Chrome’dagi CVE-2025-13223 zero-day zaifligi bugungi kunda eng xavfli tahdidlardan biridir. U orqali hujumchi zaruriy kodni masofadan ishga tushirishi, foydalanuvchi ma’lumotlarini buzib kirishi va tizimga chuqurroq kirib borishi mumkin.
Google’ning tezkor yamasiga qaramay, haqiqiy himoya — foydalanuvchining o‘z vaqtida yangilanishi bilan ta’minlanadi. Shuning uchun barcha tashkilotlar va oddiy foydalanuvchilar Chrome va Chromium asosidagi barcha brauzerlarni bugunoq yangilashi lozim.
