Laburpen exekutiboa
0-day kalteberatasun bat aktiboki ustiatzen ari dela atzeman da Google Chromeren Loader osagaian (136.0.7103.113 bertsioa baino lehenagokoak). Kalteberatasun honek urruneko erasotzaile bati aukera ematen dio jatorri gurutzatuko datuak isurtzeko manipulatutako HTML orri baten bidez, segurtasun-politiken inplementazio desegoki baten ondorioz. CVSS puntuazioak (4.3) arrisku ertain gisa sailkatzen badu ere, ustiapen aktiboak eta bere 0-day izaerak nabarmen handitzen dute inpaktua eta berehalako arintze-neurriak hartzeko premia. Ustiapen arrakastatsuak informazio sentikorra agerian uztea eta erabiltzaileen pribatutasuna arriskuan jartzea ekar dezake.
Eragindako baliabideak
- Google Chrome (136.0.7103.113 bertsioa baino lehenagokoak)
Azterketa teknikoa
- CVE-2025-4664: Google Chrome-ren Loader osagaian (136.0.7103.113 bertsioa baino lehen) politikak behar bezala ez aplikatzeak aukera eman zion urruneko erasotzaile bati jatorri gurutzatako datuak isurtzeko HTML orri manipulatu baten bidez. (Chromium-en segurtasun larritasuna: Handia)
- CWE N/A
- CVSS: 4.3 (ertaina)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
- Esplotazioa: Antzemanda
Arintzea/Konponbidea
Gomendatzen da Google Chrome berehala eguneratzea 136.0.7103.113 bertsiora edo gorako batera sistema eta gailu guztietan. Eguneraketa berehala ezar ezin bada, mugatu Chrome-ren erabilera konfiantza osoa duten webguneetara soilik, eta saihestu egiaztatu gabeko iturrietatik datozen estekak edo dokumentuak irekitzea. Horrez gain, zaindu esplotazioaren balizko zantzuak, berrikusi fabrikatzaileak gomendatutako segurtasun-konfigurazioak, eta jarraitu Google-ren ohiko abisuan jasotako jarraibideak eta BOD 22-01 gida hodeiko zerbitzuetarako. Segurtasun-neurri hauek ezin aplikatu daitezkeen ingurune kritikoetan, kontuan hartu produktu kaltetuaren erabilera aldi baterako etetea segurtasun-eguneraketa erabilgarri egon arte. Informazio eta adabaki ofizial gehiago eskuratzeko, kontsultatu: Google Chrome Release Updates.