Google je u utorak najavio novu seriju bezbjednosnih ažuriranja za Chrome koja rješavaju ukupno šest ranjivosti, uključujući i jednu koja je već aktivno iskorišćavana.
Zero-day propust, označen kao CVE-2025-6558, opisan je kao nepravilna validacija nepouzdanog unosa u komponentama ANGLE i GPU unutar pregledača.
ANGLE (Almost Native Graphics Layer Engine) je open-source grafički mehanizam koji radi na više platformi i koristi se kao podrazumijevani WebGL sistem u Chrome i Firefox pregledačima na Windowsu. Chrome uglavnom koristi GPU komponentu za prikazivanje grafike i video sadržaja na web stranicama.
Prema obavještenju američkog NIST-a, uspješna eksploatacija ove ranjivosti mogla bi omogućiti hakerima da zaobiđu Chrome sandbox preko posebno kreiranih HTML stranica.
„Google je svjestan da eksploatacija CVE-2025-6558 već postoji u divljini“, navodi se u Google-ovom upozorenju.
Ovo je peta zero-day ranjivost koju je Google zakrpio u Chrome pregledaču tokom ove godine.
Kao i obično, tehnološki gigant nije podijelio dodatne detalje o zabilježenim napadima, ali je naveo da su bezbjednosni propust prijavili Clément Lecigne i Vlad Stolyarov iz Google Threat Analysis Group (TAG).
TAG istraživači poznati su po otkrivanju ranjivosti koje eksploatišu komercijalni proizvođači špijunskog softvera, uključujući i one u Chrome-u, tako da bi to mogao biti slučaj i sa ovom novootkrivenom ranjivošću.
Novo Chrome ažuriranje ispravlja još dvije ranjivosti koje su prijavili eksterni istraživači: CVE-2025-7656, koji se odnosi na integer overflow u V8 JavaScript mehanizmu, i CVE-2025-7657, use-after-free grešku u WebRTC komponenti.
Google navodi da je isplatio nagradu od 7.000 dolara za V8 propust, dok visina nagrade za WebRTC ranjivost još nije saopštena. U skladu s internim pravilima kompanije, za interno otkrivenu zero-day ranjivost neće biti isplaćena bug bounty nagrada.
Najnovija verzija Chrome pregledača sada se postepeno distribuira kao verzije 138.0.7204.157/.158 za Windows i macOS, te kao verzija 138.0.7204.157 za Linux. Korisnicima se savjetuje da što prije ažuriraju svoj pregledač.
Izvor: SecurityWeek
