Chrome ispravlja dvije kritične greške: što se mijenja i kako se zaštititi

  • Google objavljuje sigurnosnu zakrpu za dvije mane: CVE-2025-10200 (kritična) i CVE-2025-10201 (visoka).
  • Problemi utječu na ServiceWorker (korištenje nakon oslobađanja) i Mojo (neprikladna implementacija), s rizikom od izvršavanja koda i proboja sandboxa.
  • Ažuriranja su sada dostupna za Windows, macOS i Linux; verzije i koraci ažuriranja su detaljno opisani.
  • Edge, Brave, Opera i Vivaldi također mogu biti pogođeni; dobra je ideja ručno provjeriti verzije.
Isaac

4 minuta

Sigurnosno ažuriranje Chromea

Google je 9. rujna objavio sigurnosno ažuriranje za Chrome koji ispravlja dvije relevantne ranjivostiJedan je klasificiran kao kritičan, a drugi kao visoke ozbiljnosti. Tvrtka preporučuje što bržu instalaciju zakrpe kako bi se smanjio rizik od zlouporabe, posebno na svakodnevnim uređajima.

Oba buga prijavljena su putem Googleovog programa nagrađivanja u kolovozu i sada imaju službene identifikatore. CVE-2025-10200 (kritika) i CVE-2025-10201 (visoko). Iako se utjecaj razlikuje, oboje otvara vrata scenarijima napada kojima se treba pozabaviti trenutno ažuriranje.

Hitno ažuriranje u Chromeu

Sigurnosna zakrpa za Chrome

Kritični kvar, zabilježen kao CVE-2025-10200, je greška korištenja nakon oslobađanja u komponenti ServiceWorker. Jednostavno rečeno, preglednik pokušava koristiti memorija je već oslobođena, nešto što može izazvati oštećenje podataka ili omogućiti proizvoljno izvršavanje koda ako se kombinira s drugim tehnikama.

Napadač bi mogao izraditi zlonamjernu stranicu tako da se, kada se posjeti putem Chromea, kod izvršava na sustavu žrtve. Ovaj vektor, temeljen na posebno dizajniran web sadržaj, čini ranjivost prioritetom zakrpa za korisnike i organizacije.

Drugi neuspjeh: visoka ozbiljnost u Moju

Druga ranjivost, CVE-2025-10201, opisan je kao neprikladna implementacija u Moju, skupu biblioteka koje Chromium koristi za komunikaciju između procesa. Glavni rizik je da bi napadač mogao oslabiti ili ugroziti pješčanik preglednika, ključna komponenta koja izolira procese kako bi ograničila opseg iskorištavanja.

Iako nisu svi praktični učinci javno detaljno opisani, ove vrste nedostataka u Moju mogu olakšati složenije lance napada. Stoga je preporuka primijeniti zakrpu bez odgode i provjerite instaliranu verziju u svim timovima.

Fiksne verzije i kako ih ažurirati

Google je objavio verzije koje ispravljaju obje greške za Windows, macOS i Linux. Ako se vaš preglednik nije automatski ažurirao, trebali biste ga ažurirati. pregledajte i ažurirajte ručno:

  • Windows: 140.0.7339.127 / .128
  • MacOS: 140.0.7339.132 / .133
  • Linux: 140.0.7339.127

Koraci za prisilno ažuriranje u Chromeu (računalna verzija): Izbornik > Pomoć > Informacije o Google ChromeuPreglednik će provjeriti najnoviju dostupnu verziju i, ako je dostupna, početi s preuzimanjem.

  • Otvorite izbornik s tri točke u gornjem desnom kutu.
  • Idi na Pomoć.
  • Odaberite O Google Chromeu.
  • Pričekajte preuzimanje i pritisnite Reboot ako se traži.

Proces obično dugo traje samo nekoliko sekundiNakon ponovnog pokretanja provjerite odgovara li broj verzije ispravljenim verzijama kako biste bili sigurni da je zakrpa ispravno primijenjena.

Drugi preglednici temeljeni na Chromiumu

Budući da se greške nalaze u komponentama Krom, preglednici poput Microsoft Edge, Brave, Opera ili Vivaldi također mogu biti pogođeni. Uobičajeno je da njihovi programeri objavljuju zakrpe za 24-48 sata od Googleove objave, ali dobra je ideja to provjeriti ručno.

Ako koristite jedan od ovih preglednika, idite u njegove postavke i prisilite ga da provjeri ažuriranja. Održavanje ažuriranja značajno smanjuje površinu napada i sprječava nepotrebni sigurnosni problemi.

Nagrade i kronologija otkrića

Izvješće o kritičnom kvaru stiglo je od Looben Yang Dana 22. kolovoza, uz nagradu koju je dodijelio Google u iznosu od 43.000 dolara, prijavljena je ranjivost visoke ozbiljnosti od strane Sahan Fernando zajedno s anonimnim istraživačem, s nagradom od 30.000 dolara.

Googleova javna izjava objavljena je 9. rujna i detaljno navodi da su ispravci sada dostupni. Službeni način da ih se dobije je uvijek putem samog programa za ažuriranje Chromea ili google web stranicaizbjegavajte izvore trećih strana.

brza pitanja

Utječe li to na mobilnu verziju Chromea?

Prema dostavljenim informacijama, opseg ovih ispravaka usmjeren je na Windows, macOS i Linux stolna računala. Nije naznačen utjecaj na mobilne uređaje.

Kojem riziku se izlažem ako ne ažuriram?

Mogli biste se izložiti izvršavanju koda ili prekid izolacije preglednika, uz smanjenje performansi i ugroženu privatnost.

Moram li ažurirati i ekstenzije?

Nisu povezani s ova dva CVE-a, ali preporučuje se da ih zadržite. uvijek ažuriran kako bi se spriječili dodatni vektori napada.

Ključ je sada jednostavan: zadržati Chrome i preglednike temeljene na Chromiumu na fiksnim verzijama, provjeriti instaliranu verziju i koristiti samo službeni izvoriPrimjenom zakrpe, rizik povezan s CVE-2025-10200 i CVE-2025-10201 je smanjen na Windows, macOS i Linux sustavima.

Chrome 80
Povezani članak:
Chrome 80 dolazi s mnogim sigurnosnim popravcima i ovim ostalim vijestima