Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Mikołajki z sekurakiem! od 2 do 8 grudnia!
Pilna aktualizacja dla przeglądarki Google Chrome. Załatano 13 podatności, w tym 4 z kategorii High
2 grudnia Google wydało 13 poprawek bezpieczeństwa do swojej przeglądarki Chrome, z czego cztery z nich zostały sklasyfikowane jako wysokiego ryzyka (High). W komunikacie została opublikowana pełna lista podatności. Poniżej przedstawiamy te z kategorii High, z krótkim opisem możliwych skutków dla użytkowników.
High CVE-2025-13630
To błąd, w którym komponent programu zakłada, że obiekt ma inny typ, niż faktycznie ma. W silniku V8 (odpowiada za uruchamianie JavaScriptu w Chrome) taki błąd często prowadzi do błędu pamięci. Błędy typu memory corruption mogą pozwalić atakującemu na zmuszenie procesu do wykonania dowolnego kodu (RCE). W przypadku Chrome, taka luka w V8 spowoduje wykonanie kodu w kontekście silnika JS.
Czym to grozi? Atakujący może zmusić Chrome do wykonania własnego kodu (RCE) i przejąć kontrolę nad systemem.
High CVE-2025-13631
Błędy w implementacji usługi Chrome Updater pozwalają zdalnemu atakującemu na eskalację uprawnień w systemie przez specjalnie spreparowany plik. Według informacji producenta, luka dotyka tylko przeglądarki na systemy MacOs.
High CVE-2025-13632
Luka w DevTools pozwalała atakującemu, który przekonał użytkownika do zainstalowania złośliwego rozszerzenia, potencjalnie przeprowadzić ucieczkę z piaskownicy (sandboxa) za pomocą spreparowanego rozszerzenia Chrome.
W ten sposób cyberprzestępcy mogli uzyskać dostęp do danych, które normalnie widoczne są tylko w DevTools, odczytać zawartość innych otwartych kart lub uzyskać dostęp do plików cookies.
High CVE-2025-13633
Błąd typu use after free w funkcji Digital Credentials pozwalał atakującemu, który przejął proces renderera, potencjalnie wykorzystać uszkodzenie pamięci za pomocą spreparowanej strony HTML. Podatność tego typu wynika z ponownego użycia zwolnionej pamięci.
Proces renderera to część współczesnych przeglądarek, która zamienia HTML, CSS i JavaScript w widoczną stronę internetową. Jest on izolowany w piaskownicy dla bezpieczeństwa, oddzielony od głównego „procesu przeglądarki”, który zarządza kartami, adresami URL i żądaniami sieciowymi. W przypadku stron HTML jest to zasadniczo silnik wyświetlania stron.
Czym to grozi? Cyberzbój mógł potencjalnie podejrzeć lub przechwycić dane używane do logowania i potwierdzania tożsamości, uzyskać dostęp do innych wrażliwych informacji, a także przejąć kontrolę nad kartą.
Niektóre poprawki dotyczą także innych przeglądarek opartych na Chromium, więc jeśli używacie na przykład Brave, Edge lub Opery wypatrujcie aktualizacji łatajcie się, jak najszybciej.
