Istraživači su zaradili značajne nagrade od Google-a nakon što su prijavili dvije potencijalno ozbiljne ranjivosti pronađene u Chrome internet pregledaču.
Ove sedmice Google je objavio ažuriranje za Chrome kojim su zakrpljena dva bezbjednosna propusta prijavljena od strane eksternih istraživača. Među njima je i ranjivost kritične težine u komponenti Serviceworker, za koju je isplaćena nagrada od 43.000 dolara.
Ranjivost, praćena kao CVE-2025-10200, prijavio je Looben Yang. Opisana je kao use-after-free problem – vrsta korupcije memorije koja nastaje kada program pokuša da pristupi memoriji koja je već oslobođena.
Pravilnim tempiranjem memorijskih operacija, hakeri mogu iskoristiti ovakve propuste da u oslobođenu memoriju ubace maliciozni kod, što može dovesti do proizvoljnog izvršavanja koda i potpune kompromitacije sistema.
Najnovije Chrome ažuriranje takođe ispravlja i ranjivost CVE-2025-10201, klasifikovanu kao visoke težine, koja je nastala usljed neadekvatne implementacije u Mojo komponenti. Za ovaj propust Google je isplatio 30.000 dolara, a prijavili su ga Sahan Fernando i anonimni istraživač.
Iako se ove nagrade čine značajnim, podsjetimo da je Google nedavno platio čak 250.000 dolara za ranjivost u Chrome-u koja je omogućavala izlazak iz sandbox okruženja pregledača.
Google nije naveo da li su ove ranjivosti iskorišćene u stvarnim napadima, ali korisnicima se preporučuje da što prije ažuriraju svoje pregledače.
Novi Chrome update se objavljuje kao verzije 140.0.7339.127/.128 za Windows, 140.0.7339.132/.133 za macOS, te 140.0.7339.127 za Linux.
Izvor: SecurityWeek