Krytyczna podatność w Chrome. Znalazł ją agent AI

Google wydało 26 sierpnia wydało aktualizację Chrome (wersja 139.0.7258.154/.155 dla Windowsa, macOS i Linuxa oraz 139.0.7258.158 dla Androida), w której załatano krytyczną podatność typu Use-After-Free w silniku graficznym ANGLE (CVE-2025-9478).

TLDR:

• Big Sleep – agent AI opracowany przez Google i Project Zero wykrył podatność typu Use-After-Free w silniku renderowania ANGLE w przeglądarce Chrome.
• Podatność została oznaczona jako krytyczna, więc zaleca się natychmiastową aktualizację przeglądarki.
• Wykorzystanie podatności mogłoby doprowadzić do opuszczenia sandboxa Chrome i wykonania kodu na urządzeniu użytkownika.

Use-After-Free (UAF) to podatność związana z nieprawidłowym wykorzystaniem pamięci dynamicznej podczas działania programu. Występuje wtedy, gdy po zwolnieniu miejsca w pamięci program próbuje uzyskać do tej lokalizacji dostęp. Może to prowadzić do awarii aplikacji, ale też umożliwić eskalację ataku. Jeżeli zwolniony fragment pamięci zostanie ponownie użyty jako np. wskaźnik do funkcji, program może de facto wykonać kod wprowadzony przez atakującego. 

Podatność w Chrome została wykryta 11 sierpnia, jednak nie dokonał tego badacz, ale Big Sleep, agent oparty na sztucznej inteligencji. Został on opracowany przez Google DeepMind we współpracy z Project Zero. Jego celem jest aktywne poszukiwanie i wykrywanie podatności, zanim zostaną wykorzystane przez atakujących i wpłyną na użytkowników. W listopadzie 2024 r. Big Sleep znalazł pierwszą lukę, udowadniając że sztuczna inteligencja może wesprzeć pracę “ludzkich” działów bezpieczeństwa.

ANGLE (Almost Native Graphics Layer Engine) odpowiada za renderowanie grafiki przez Chrome na wielu platformach. Podatność UAF w tym komponencie może potencjalnie umożliwić atakującym zdalne wykonanie kodu po odwiedzeniu przez użytkownika spreparowanej (złośliwej) strony internetowej. Wystarczy, że użytkownik korzysta z akceleracji (przyspieszenia) GPU.

Taki kod wykonałby się z uprawnieniami procesu renderującego przeglądarki Chrome, co mogłoby doprowadzić do opuszczenia sandboxa (izolowanego środowiska przeglądarki) i całkowitego przejęcia kontroli nad urządzeniem użytkownika.

Na ten moment nie znamy pełnych technicznych szczegółów podatności, a jej podgląd w Chrome Issue Tracker jest zablokowany. Google wraz z aktualizacją pisze: 

Access to bug details and links may be kept restricted until a majority of users are updated with a fix. We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed

Użytkownikom Chrome zaleca się natychmiastową aktualizację przeglądarki. Nowa wersja jest dostępna na urządzenia z systemem Windows, macOS i Linux. Aktualizacja dla Androida została już udostępniona w sklepie Google Play Store, ale jej instalacja może jeszcze nie być możliwa na wszystkich smartfonach.

Z kolei administratorzy i programiści powinni zwrócić uwagę na stosowanie nagłówków CSP (Content Security Policy) na stronach internetowych, aby ograniczyć potencjalne możliwości wykorzystania podatności.

Źródła:

• www.heise.de
• cybersecuritynews.com
• securityonline.info

~Tymoteusz Jóźwiak