Pilna aktualizacja dla przeglądarki Google Chrome. Załatano 13 podatności, w tym 4 z kategorii High

2 grudnia Google wydało 13 poprawek bezpieczeństwa do swojej przeglądarki Chrome, z czego cztery z nich zostały sklasyfikowane jako wysokiego ryzyka (High). W komunikacie została opublikowana pełna lista podatności. Poniżej przedstawiamy te z kategorii High, z krótkim opisem możliwych skutków dla użytkowników. 

High CVE-2025-13630

To błąd, w którym komponent programu zakłada, że obiekt jest innego typu niż w rzeczywistości. W silniku V8 (odpowiada za uruchamianie JavaScriptu w Chrome) taki błąd często prowadzi do błędu naruszenia pamięci. Podatności wynikające z tzw. memory corruption mogą pozwolić atakującemu na zmuszenie procesu do wykonania dowolnego kodu (RCE). W przypadku Chrome, wykonanie kodu w kontekście silnika JS.

Czym to grozi? Atakujący może zmusić Chrome w najgorszym przypadku do wykonania własnego kodu (RCE) i przejąć kontrolę nad systemem.

High CVE-2025-13631

Błędy w implementacji usługi Chrome Updater pozwalają zdalnemu atakującemu na eskalację uprawnień w systemie przez specjalnie spreparowany plik. Według informacji producenta, luka dotyka tylko przeglądarki na systemy MacOs. 

High CVE-2025-13632

Luka w DevTools pozwalała atakującemu, który przekonał użytkownika do zainstalowania złośliwego rozszerzenia, potencjalnie przeprowadzić ucieczkę z piaskownicy (sandboxa) za pomocą spreparowanego rozszerzenia Chrome.

W ten sposób cyberprzestępcy mogli uzyskać dostęp do danych, które normalnie widoczne są tylko w DevTools, odczytać zawartość innych otwartych kart lub uzyskać dostęp do plików cookies.

High CVE-2025-13633

Błąd typu use after free w funkcji Digital Credentials pozwalał atakującemu, który przejął proces renderera, potencjalnie wykorzystać uszkodzenie pamięci za pomocą spreparowanej strony HTML. Podatność tego typu wynika z ponownego użycia zwolnionej pamięci. 

Proces renderera to część współczesnych przeglądarek, która zamienia HTML, CSS i JavaScript w widoczną stronę internetową. Jest on izolowany w piaskownicy dla bezpieczeństwa, oddzielony od głównego „procesu przeglądarki”, który zarządza kartami, adresami URL i żądaniami sieciowymi. W przypadku stron HTML jest to zasadniczo silnik wyświetlania stron.

Czym to grozi? Cyberzbój mógł potencjalnie podejrzeć lub przechwycić dane używane do logowania i potwierdzania tożsamości, uzyskać dostęp do innych wrażliwych informacji, a także przejąć kontrolę nad kartą.

Niektóre poprawki dotyczą także innych przeglądarek opartych na Chromium, więc jeśli używacie na przykład Brave, Edge lub Opery wypatrujcie aktualizacji łatajcie się, jak najszybciej.