Kritikus Chrome sebezhetőségek veszélyeztetik a felhasználókat és vállalatokat

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe

A Google két súlyos biztonsági rést javított nemrégiben a Chrome böngészőben, amelyek közül az egyik már aktív kihasználás alatt áll. A sebezhetőségek távoli kódfuttatást tesznek lehetővé, veszélyeztetve ezzel a felhasználók adatait és vállalati rendszerek integritását. A Google és a biztonsági közösség egyaránt az azonnali frissítést sürgeti.

Kritikus sebezhetőség az ANGLE grafikus könyvtárban

2025. augusztus 11-én a Google Big Sleep biztonsági csapata fedezte fel a CVE-2025-9478 azonosítójú hibát, amely a Chrome rendering architektúrájának fontos elemében, az ANGLE grafikus könyvtárban található. Az ANGLE egy fordító réteg, amely az OpenGL ES hívásokat natív grafikus API-kra alakítja át, elsősorban WebGL megjelenítés során.

A sebezhetőség a use-after-free típusú memóriakezelési hibák közé tartozik. Egy rosszindulatúan megírt weboldal képes lehet olyan WebGL vagy Canvas műveleteket végrehajtani, amelyek után a felszabadított memóriaterületet újrahasznosítva tetszőleges kód futtatható a felhasználó nevében.

Érintett verziók és frissítések

A sérülékenységet javító frissítés a következő Chrome verziókban jelent meg:

  • Windows és macOS: 139.0.7258.154/.155
  • Linux: 139.0.7258.154

A frissítések automatikusan települnek, de javasolt manuálisan is ellenőrizni a verziószámot, különösen vállalati környezetben.

Kockázatok

A CVE-2025-9478 kihasználása egy “drive-by download” forgatókönyvben is lehetséges, azaz a felhasználónak elég csupán meglátogatnia egy fertőzött weboldalt, hogy megtörténjen a támadás. Ez különösen veszélyessé teszi a hibát:

  • Malware települhet
  • Adatszivárgás következhet be
  • További hálózati pivoting történhet vállalati rendszerek ellen

Ajánlott intézkedések

  • Frissítsük a Chrome-ot az említett verziókra.
  • Nagyvállalatoknál használjuk a Chrome Enterprise Bundle vagy MSI telepítőcsomagokat a kontrollált frissítéshez.
  • Monitorozzuk a WebGL-hez köthető hálózati forgalmat.
  • Alkalmazzuk a legkisebb jogosultság elvét a böngészőfolyamatokra.
  • Oktassuk a felhasználókat a nem megbízható weboldalak látogatásának veszélyeiről.

Zero-day sebezhetőség a V8 JavaScript motorban

Kevesebb mint három hónappal az első nyilvános jelentés után a CVE-2025-5419 számú, magas súlyosságú sebezhetőséghez már nyilvános proof-of-concept (PoC) exploit is elérhető. A hibát kihasználva a támadók képesek heap memória korrupciót előidézni a V8 JavaScript motorban, amely távoli kódfuttatáshoz vezethet.

A sebezhetőséghez kapcsolódó technikai gyengeségek:

  • CWE-125: Out-of-bounds read
  • CWE-787: Out-of-bounds write

A GitHubon közzétett PoC bemutatja, hogyan lehet egy ártalmatlannak tűnő HTML oldalt úgy módosítani, hogy az memóriahibát idézzen elő, amelyet később kihasználva támadók teljesen kompromittálhatják a Chrome folyamatot.

Kockázatok

  • CVSS v3.1 pontszám: 7.5/10
  • Hálózatalapú támadási vektor
  • Nincs szükség előzetes jogosultságra
  • Kis felhasználói interakcióval (pl. egy linkre kattintás) aktiválható

A támadás sikeressége esetén a támadó a böngészőn keresztül rendszerszintű hozzáférést is szerezhet, akár tartós jelenlétet kialakítva a célgépen.

Válaszintézkedések

  • Bár a Google június 24-én kiadott egy ideiglenes javítást, a pontos verzió, amely majd tartalmazza a végleges patch-et, még nem ismert.
  • Jelenleg nincs hivatalos kerülőmegoldás. Lehetséges opció lehet a JavaScript teljes letiltása vagy a Chrome sandbox paramétereinek módosítása, azonban mindkét megoldás jelentős funkcióvesztéssel járhat..

A Microsoft is nyomon követi a hibát a saját biztonsági adatbázisában, külön kiemelve a Windows rendszereken futó Chrome verziók sebezhetőségét.

Összefoglalás és következtetés

A két kritikus és magas kockázatú sérülékenység világosan mutatja, hogy a böngészők biztonsága továbbra is elsődleges célpont a támadók számára. Az alábbi lépések javasoltak minden rendszerüzemeltető számára:

  1. Frissítsük haladéktalanul a Chrome böngészőt a legújabb stabil verzióra.
  2. Automatizáljuk és ellenőrizzük a frissítési folyamatokat vállalati környezetben.
  3. Alkalmazzunk több szintű védelmet: sandboxing, proxy figyelés, viselkedéselemzés.
  4. Oktassuk a felhasználókat az ismeretlen HTML és WebGL tartalmak kockázatairól.

A Google példamutató gyorsasággal reagált, és ismét bebizonyította, hogy az open source biztonságosabbá tétele csakis közösségi együttműködéssel lehetséges. Azonban a nyilvánosan elérhető PoC exploitok miatt a védelmi intézkedések bevezetésével nem várhatunk.

(forrás, forrás, forrás)