Google je u utorak objavio Chrome 140 na stabilnom kanalu sa zakrpama za šest ranjivosti, od čega su četiri prijavili eksterni istraživači.
Najozbiljnija među njima je CVE-2025-9864, visokorizična use-after-free greška u V8 JavaScript engine-u, koju je prijavio Yandex Security Team.
Prema Google-ovom saopštenju, za ovaj bezbjednosni propust neće biti isplaćena bug bounty nagrada, a detalji o grešci biće zadržani u tajnosti dok većina korisnika ne primi zakrpu.
Kao vrsta propusta u rukovanju memorijom, use-after-free ranjivosti u V8 nastaju kada JavaScript kod može da pristupi objektima nakon što im je memorija oslobođena, što može dovesti do oštećenja heap-a.
Napadači mogu potencijalno iskoristiti ovakvo oštećenje heap-a preko posebno kreiranih HTML stranica, često u svrhu daljinskog izvršavanja koda (RCE).
Preostala tri bezbjednosna propusta koja su prijavili eksterni istraživači klasifikovana su kao srednje-rizične greške nepravilne implementacije u Chrome Toolbar-u, ekstenzijama i komponenti za preuzimanja.
Google navodi da je za njih isplatio nagrade od 5.000, 4.000 i 1.000 dolara. Propust u ekstenzijama prijavljen je još u novembru 2024. godine.
Najnovija verzija Chrome-a sada se postepeno distribuiše kao 140.0.7339.80/81 za Windows i macOS, te kao 140.0.7339.80 za Linux. Extended stable kanal ažuriran je na Chrome 140.0.7339.81 za Windows i macOS.
Google ne navodi da su ove ranjivosti iskorišćene u napadima u stvarnom okruženju, ali korisnicima se savjetuje da što prije ažuriraju svoje pregledače.
Izvor: SecurityWeek
