A Google sürgősségi biztonsági frissítéseket tett közzé a Chrome böngészőhöz, miután négy új sebezhetőséget azonosítottak. Ezek közül egy – CVE-2025-10585 – már aktívan kihasznált sérülékenység, amelyet valós támadásokban is bevetettek.
A vállalat biztonsági közleményében megerősítette, hogy „tudomással bír arról, hogy a CVE-2025-10585 kihasználására már létezik működő exploit”. Ez azonnali frissítésre ösztönöz minden felhasználót, hiszen a böngésző naprakészen tartása az egyik leghatékonyabb védelmi intézkedés a kibertámadásokkal szemben.
Részletek a zero-day sebezhetőségről (CVE-2025-10585)
A kritikus hibát a V8 JavaScript és WebAssembly motorban fedezték fel. Ez a komponens felel a JavaScript-kód futtatásáért a Chrome mellett más Chromium-alapú böngészőkben is, például a Microsoft Edge, a Brave és az Opera esetében.
- Típuskonverziós hiba (type confusion): akkor fordul elő, amikor a szoftver egy memóriaterületet más adattípusként értelmez, mint amire az valójában szolgál. Ez rosszindulatú kód futtatását is lehetővé teheti.
A sérülékenységet a Google Threat Analysis Group (TAG) azonosította 2025. szeptember 16-án. Bár a részleteket – például a támadók kilétét – nem hozták nyilvánosságra, a TAG tapasztalatai alapján valószínűsíthető, hogy nemzetállami fenyegető szereplők vagy kereskedelmi kémprogramokat fejlesztő csoportok weaponizálták a hibát.
Egyéb, 2025-ben javított Chrome zero-day hibák
A most felfedezett CVE-2025-10585 már a hatodik olyan sebezhetőség 2025-ben, amelyet aktívan kihasználtak a támadók. A Google az év során több más kritikus hibát is javított, többek között:
- CVE-2025-5419: memóriaolvasási és írási hiba a V8-ban, amely heap-korrupciót okozhatott.
- CVE-2025-4664: elégtelen házirend-érvényesítés a Loader komponensben, amely adat-szivárgást tett lehetővé.
- CVE-2025-2783: sandbox megkerülés a Mojo komponensben rosszindulatú fájlok révén.
- CVE-2025-6554: újabb típuskonverziós hiba a V8-ban, amely önkényes memóriahozzáférést engedett.
- CVE-2025-6558: nem megfelelő bemeneti ellenőrzés az ANGLE és GPU modulokban, amely sandbox megkerüléshez vezethetett.
Frissítési ajánlások
A Google sürget minden felhasználót, hogy haladéktalanul frissítse a Chrome böngészőt a következő verziókra:
- Windows és macOS: 140.0.7339.185 vagy 140.0.7339.186
- Linux: 140.0.7339.185
Hogyan ellenőrizhető?
- Nyisd meg a Chrome menüt.
- Válaszd a Súgó → A Google Chrome névjegye opciót.
- A böngésző automatikusan ellenőrzi a frissítéseket, és telepíti azokat.
A változások érvényesítéséhez újra kell indítani a böngészőt.
Miért különösen veszélyesek a zero-day hibák?
A zero-day sebezhetőségek a legveszélyesebbek közé tartoznak, mivel a támadók még a hivatalos javítás megjelenése előtt kihasználják őket.
- Gyakran alkalmazzák őket államilag támogatott kiberkémkedésben.
- Kihasználhatják őket ransomware-csoportok zsarolóvírus támadások előkészítésére.
- Érzékeny adatokhoz, e-mailekhez, felhőszolgáltatásokhoz biztosíthatnak hozzáférést.
Ezért a böngésző azonnali frissítése kulcsfontosságú az adatlopás, a megfigyelés és más rosszindulatú tevékenységek elkerülése érdekében.
