Az idei nyolcadik Chrome-botrány: újabb kritikus hibát foltozott a Google

A Google újabb, a gyakorlatban is kihasznált, úgynevezett nulladik napi sebezhetőséget javított a Chrome böngészőben – ez már a nyolcadik ilyen javítás 2025-ben. A mostani, nagy súlyosságú hibát a Chrome stabil, asztali kiadását használók számára már javították, a frissítés elérhető Windowsra (143.0.7499.109), macOS-re (143.0.7499.110) és Linuxra is (143.0.7499.109). A biztonsági javítás mindenkihez napok, vagy akár hetek alatt jut el, de a böngésző képes magától is frissülni.

Ismét a LibANGLE-ben találtak hibát

A Google szokás szerint nem részletezte a hiba okát vagy a hibaazonosítót, csak annyit árult el, hogy a hiba kijavításáig korlátozzák az információkat. Kiderült azonban, hogy a sérülékenységet a Chrome egyik nyílt forráskódú könyvtárában, a LibANGLE-ben találták. Ez a szoftver az OpenGL ES grafikai hívásokat fordítja le más API-kra, például Direct3D-re, Vulkanra vagy Metalra, hogy az OpenGL ES-alkalmazások olyan rendszereken is futhassanak, ahol nincs natív támogatás, illetve ahol alternatív API-kkal jobb lehet a teljesítmény.

Puffertúlcsordulás és fenyegetések

A hiba az ANGLE Metal renderelőjében található puffertúlcsordulás, ami hibás pufferméretezés miatt keletkezik. Ez memóriasérüléssel, összeomlásokkal, érzékeny adatszivárgással vagy akár tetszőleges kód futtatásával járhat, vagyis kiemelten veszélyes.

Idén sorra jöttek a támadások

2025-ben a Google már hét további, aktívan kihasznált nulladik napi hibát javított a Chrome-ban. Az év folyamán több hasonló sebezhetőséget javítottak májusban, júniusban, júliusban, szeptemberben és novemberben is: ezek közül több lehetőséget adott fiókok eltérítésére, a böngészőmotorjában kód futtatására vagy kémkedésre, például orosz állami célpontok ellen.

2025, adrienne, www.bleepingcomputer.com alapján

Share on Social Media