A Google sürgősségi biztonsági frissítést adott ki a Chrome böngészőhöz, miután súlyos, aktívan kihasznált zero-day sebezhetőséget (CVE-2025-6554) azonosított a Threat Analysis Group (TAG) csapata. Ez már a negyedik nulladik napi hiba, amelyet 2025-ben kihasználtak és javítottak.
„A Google tudomással bír arról, hogy a CVE-2025-6554-hez már létezik kihasználó kód a valós világban” – olvasható a vállalat hivatalos biztonsági közleményében.
🔎 CVE-2025-6554 – Típushibás sérülékenység a V8 motorban
A hiba a V8 JavaScript- és WebAssembly motor típushibás sebezhetősége. Lehetővé teszi távoli, nem hitelesített támadók számára, hogy egy manipulált HTML-oldalon keresztül:
- tetszőleges memóriaterületekhez férjenek hozzá,
- akár teljes távoli kódfuttatást is végrehajtsanak.
A biztonsági rés különösen aggasztó, mivel a TAG csapata gyakran államilag támogatott kiberkémkedési kampányokat tár fel – így valószínűsíthető, hogy a sebezhetőséget célzott támadások során már használják például:
- újságírók,
- aktivisták,
- politikai célpontok ellen.
🛡 Frissítési információk – Azonnal telepítsd!
A Google már június 26-án kiadott egy ideiglenes védekezést a Stable csatornában, és mostanra elérhető a teljes javítás az alábbi verziókban:
- Windows: Chrome 138.0.7204.96/.97
- Mac: Chrome 138.0.7204.92/.93
- Linux: Chrome 138.0.7204.96
Ha még nem frissült automatikusan, nyisd meg a böngészőt és menj a
Beállítások > Súgó > A Google Chrome névjegye menüpontra, ahol azonnal elindul a frissítés ellenőrzése és telepítése.
Cégeknek és rendszergazdáknak javasolt automatikus frissítéskezelést beállítani és a verziószabványokat ellenőrizni.
🧨 Miért veszélyes ez a hiba?
Ha a támadó sikeresen kihasználja a hibát:
- hozzáférhet bizalmas adatokhoz,
- átveheti az irányítást a böngésző felett,
- kikerülheti a Chrome sandbox védelmét,
- és akár más weboldalak hitelesítési adatainak ellopására is képes lehet.
🗓 A 2025-ös év eddigi Chrome Zero-Day hibái
| Dátum | CVE-kód | Típus és hatás |
|---|---|---|
| Március | CVE-2025-2783 | Sandbox megkerülés a Windows IPC-rendszer hibáján keresztül |
| Május | CVE-2025-4664 | Cross-origin adatlopás a Loader komponensben |
| Június | CVE-2025-5419 | Out-of-bounds memória hozzáférés a V8 motorban |
| Június vége | CVE-2025-6554 | Típushibás RCE a V8-ban – jelenleg aktívan kihasználva ❗ |
A 2024-es V8-alapú támadást Észak-Koreához kötött kriptovaluta elleni támadásokban használták fel – így a CVE-2025-6554 különösen komoly nemzetbiztonsági figyelmet érdemel.
🔐 További teendők
- ✅ Frissítsd azonnal a Chrome-ot, manuálisan is, ha kell
- ✅ IT rendszergazdák: végezz verzióellenőrzést és auditot
- ⚠️ Ne hagyatkozz kizárólag az automatikus frissítésre
