Google v stredu (10.12.2025) vydal bezpečnostné aktualizácie pre svoj prehliadač Chrome s cieľom opraviť tri bezpečnostné chyby, vrátane jednej, o ktorej uviedol, že je aktívne zneužívaná vo voľnej prírode.
Zraniteľnosť, hodnotená ako vysoko závažná, je sledovaná pod identifikátorom Chromium issue tracker ID „466192044“. Na rozdiel od iných zverejnení sa Google rozhodol ponechať informácie o identifikátore CVE, dotknutej komponente a povahe chyby v utajení.
Avšak GitHub commit pre chybu Chromium s týmto ID odhalil, že problém sa nachádza v open-source knižnici Almost Native Graphics Layer Engine (ANGLE) od Googlu, pričom správa commitu uvádza: „Metal: Nepoužívajte pixelsDepthPitch na dimenzovanie bufferov. pixelsDepthPitch je založený na GL_UNPACK_IMAGE_HEIGHT, ktorý môže byť menší než výška obrázka.“
To naznačuje, že problém je pravdepodobne zraniteľnosť typu pretečenie buffera v Metal renderer-i ANGLE, vyvolaná nesprávnym dimenzovaním buffera, čo môže viesť ku korupcii pamäte, pádom programu alebo spusteniu ľubovoľného kódu.
„Google si je vedomý, že exploit pre 466192044 existuje vo voľnej prírode,“ uviedla spoločnosť a dodala, že ďalšie podrobnosti sú „v procese koordinácie“.
Technologický gigant prirodzene nezverejnil ani žiadne konkrétne informácie o identite aktéra hrozby stojaceho za útokmi, o tom, kto mohol byť cieľom, ani o rozsahu týchto aktivít.
Toto sa zvyčajne robí s cieľom zabezpečiť, aby si väčšina používateľov nainštalovala opravy, a aby sa zabránilo iným škodlivým aktérom v reverznom inžinierstve záplaty a vývoji vlastných exploitov.
Najnovšou aktualizáciou Google opravil osem zero-day chýb v Chrome, ktoré boli buď aktívne zneužívané, alebo demonštrované ako proof-of-concept (PoC) od začiatku roka. Zoznam zahŕňa CVE-2025-2783, CVE-2025-4664, CVE-2025-5419, CVE-2025-6554, CVE-2025-6558, CVE-2025-10585 a CVE-2025-13223.
Google tiež opravil ďalšie dve zraniteľnosti so strednou závažnosťou –
- CVE-2025-14372 – use-after-free v Správcovi hesiel
- CVE-2025-14373 – nevhodná implementácia v Paneli nástrojov
Na ochranu pred potenciálnymi hrozbami sa odporúča aktualizovať prehliadač Chrome na verzie 143.0.7499.109/.110 pre Windows a Apple macOS a 143.0.7499.109 pre Linux. Na overenie, že sú nainštalované najnovšie aktualizácie, môžu používatelia prejsť do ponuky Viac > Pomocník > O prehliadači Google Chrome a zvoliť možnosť Znova spustiť.
Používateľom iných prehliadačov založených na Chromium, ako sú Microsoft Edge, Brave, Opera a Vivaldi, sa taktiež odporúča aplikovať opravy hneď, ako budú dostupné.
Chyba je teraz evidovaná ako CVE-2025-14174
Zraniteľnosti bol teraz pridelený identifikátor CVE-2025-14174 (skóre CVSS: 8.8), pričom Google ju popisuje ako prístup k pamäti mimo povoleného rozsahu v ANGLE. Spoločnosť pripísala nahlásenie problému tímom Apple Security Engineering and Architecture (SEAR) a Google Threat Analysis Group (TAG) dňa 5. decembra 2025.
Americká agentúra Cybersecurity and Infrastructure Security Agency (CISA) ju taktiež zaradila do svojho katalógu Known Exploited Vulnerabilities (KEV), pričom vyžaduje, aby agentúry Federal Civilian Executive Branch (FCEB) aplikovali opravy najneskôr do 2. januára 2026.
„Google Chromium obsahuje zraniteľnosť prístupu k pamäti mimo povoleného rozsahu v ANGLE, ktorá by mohla umožniť vzdialenému útočníkovi vykonať prístup k pamäti mimo povoleného rozsahu prostredníctvom špeciálne vytvorenej HTML stránky,“ uviedla CISA.
Viac informácií tu:
https://thehackernews.com/2025/12/chrome-targeted-by-active-in-wild.html?_m=3n%2e009a%2e3847%2eam0ao465na%2e2w0w