"Google Threat Analysis Group" tomonidan xabar qilinganiga ko‘ra, zaiflikdan tijoriy josuslik dasturlari foydalangan bo‘lishi mumkin.
Google dushanba kuni Chrome 137 yangilanishini chiqardi, unda uchta zaiflik, jumladan, "yovvoyi tabiat"da foydalanilgan yuqori darajadagi xato bartaraf etildi.
CVE-2025-5419 sifatida kuzatilgan bu nol kunlik zaiflik V8 JavaScript dvigatelidagi chegaradan tashqari o‘qish va yozish muammosi sifatida tasvirlanadi.
“Google CVE-2025-5419 uchun eksploit mavjudligini biladi”, deyiladi internet gigantining maslahatnomasida. Xavfsizlik nuqsoni yoki eksploit bo‘yicha qo‘shimcha ma’lumotlar berilmagan.
Biroq, kompaniya Google Threat Analysis Group (TAG) dan Clement Lecigne va Benoît Sevensni ushbu muammoni xabar qilgani uchun minnatdorchilik bildirdi.
TAG tadqiqotchilari ilgari tijorat kuzatuv dasturiy ta’minot ishlab chiqaruvchilari tomonidan foydalanilgan bir nechta zaifliklarni, shu jumladan Chromedagi bunday xatolarni xabar qilgan edi. Google brauzeridagi zaifliklar ko‘pincha josuslik dasturlari ishlab chiqaruvchilari tomonidan ishlatiladi va CVE-2025-5419 bundan farq qilmasligi mumkin.
NIST maslahatnomasiga ko‘ra, foydalanilgan nol kunlik zaiflik “masofadan turib hujumchiga maxsus ishlab chiqilgan HTML sahifasi orqali xotira tasarruflarini ehtimoliy ravishda ishlatish imkonini berdi”. Chegaradan tashqariga chiquvchi nuqsonlarning ishlatilishi ko‘pincha o‘zboshimchalik bilan kodni ijro etishga olib keladi.
Eng so‘nggi brauzer yangilanishi shuningdek, Blinkdagi o‘rta darajadagi foydalanishdan keyin bo‘shatish xatosi bo‘lgan CVE-2025-5068 ni ham bartaraf etadi, uni xabar bergan tadqiqotchi 1000 dollarlik xato mukofoti (bug bounty)ni qo'lga kiritdi. Ushbu nol kunlik zaiflik uchun esa hech qanday mukofot berilmaydi.
Eng so‘nggi Chrome talqini endi Windows va macOS uchun 137.0.7151.68/.69 sifatida, Linux uchun esa 137.0.7151.68 talqini sifatida tarqatilmoqda.
CVE-2025-5419 uchun patch (yamoq) Rossiya davlati tomonidan qo‘llab-quvvatlanadigan guruh tomonidan foydalanilgan Chrome sandboxdan qochish (CVE-2025-2783) xatosi aniqlanib, mart oyida tuzatilgandan so‘ng chiqarildi. Firefox ham shunga o‘xshash zaiflikka qarshi yamoq (patch) bilan ta’minlandi.
May oyining o‘rtalarida Google Chrome 136 yangilanishini chiqargandi va unda bartaraf etilgan xatolardan biri uchun eksploit oshkora mavjudligi haqida ogohlantirdi. Patch xavfsizlik tadqiqotchisi X platformasida ushbu zaiflik haqida ma’lumot e’lon qilganidan taxminan bir hafta o‘tib chiqarildi.
