Site icon Kiber.ba

Chrome 140 donosi zakrpu za šestu zero-day ranjivost u 2025. godini

StefanB
Chrome 140 donosi zakrpu za šestu zero-day ranjivost u 2025. godini-Kiber.ba

Eksploatisana ranjivost tipa “type confusion” u V8 JavaScript engine-u, praćena kao CVE-2025-10585, otkrivena je ove sedmice od strane Google Threat Analysis Group.

Google je u srijedu hitno izdao ažuriranje za Chrome koje ispravlja ranjivost aktivno korišćenu u napadima, šestu zero-day zakrpljenu u pregledaču ove godine.

Ranjivost, praćena kao CVE-2025-10585 i prijavljena od strane Google Threat Analysis Group (TAG) 16. septembra, opisana je kao „type confusion“ u V8 JavaScript i WebAssembly engine-u.

Greške tipa „type confusion“ predstavljaju probleme sa bezbjednošću memorije koji mogu izazvati neočekivano ponašanje softvera, što potencijalno vodi do padova sistema, daljinskog izvršavanja koda i drugih vrsta napada.

Korišćenjem posebno kreiranih HTML stranica, hakeri bi mogli da iskoriste ovakve propuste u V8 engine-u kako bi izvršili proizvoljne operacije čitanja i pisanja na daljinu.

„Google je svjestan da exploit za CVE-2025-10585 postoji u realnom svijetu“ navodi internet gigant u svom bezbjednosnom savjetu. Detalji o ranjivosti ili njenoj eksploataciji nisu objavljeni.

Činjenica da je ranjivost prijavila Google TAG ekipa sugeriše da je možda iskorišćena od strane proizvođača špijunskog softvera. TAG istraživači ranije su otkrili brojne bezbjednosne propuste koje su komercijalni spyware vendori koristili, uključujući i one u Chrome-u.

Najnovije ažuriranje pregledača takođe ispravlja dvije use-after-free ranjivosti u Dawn (CVE-2025-10500) i WebRTC (CVE-2025-10501), za koje je Google dodijelio nagrade od 15.000 i 10.000 dolara.

Pored toga, update donosi zakrpu za heap buffer overflow u ANGLE grafičkom engine-u (CVE-2025-10502) koji je otkrio Big Sleep AI agent. Google tvrdi da ovaj agent može pronaći bezbjednosne propuste za koje napadači već znaju i planiraju ih eksploatisati.

Internet gigant još nije otkrio iznos nagrade koji će biti isplaćen za ANGLE ranjivost. Za eksploatisanu zero-day ranjivost neće biti dodijeljena nagrada jer je otkrivena interno.

Najnovija Chrome verzija sada se postepeno isporučuje kao 140.0.7339.185/.186 za Windows i macOS, te 140.0.7339.185 za Linux.

Izvor: SecurityWeek

Exit mobile version