[TLP:CLEAR] Google Chrome opravuje 6 zranitelností

Google opravuje 6 zranitelností v produktu Google Chrome, z toho jedna je již aktivně zneužívaná [1][2]. Oprava je k dispozici ve verzi 138.0.7204.157/.158 pro Windows a macOS. V následujících dnech/týdnech bude k dispozici také ve verzi 138.0.7204.157 pro Linux. Popis vybraných zranitelností naleznete níže [1].

Google Chrome - sandbox escape (CVE-2025-6558) CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi je prostřednictvím speciálně vytvořené HTML stránky kvůli nedostatečné validaci vstupu v softwarové vrstvě ANGLE umožněno uniknout ze sandboxu a spustit kód v rámci GPU procesu prohlížeče. Zranitelnost je již aktivně zneužívána [3][2].

Zranitelnost se nachází v produktu Google Chrome ve verzích <138.0.7204.157.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 15. 7. 2025.

Google Chrome - heap corruption (CVE-2025-7656) CVSS 7.1 (High)

Neautentizovanému vzdálenému útočníkovi je prostřednictvím speciálně vytvořené HTML stránky kvůli přetečení celého čísla (integer overflow) v JavaScript enginu V8 umožněno poškodit data v paměti [3].

Zranitelnost se nachází v produktu Google Chrome ve verzích <138.0.7204.157.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L

Více informací:

Zranitelnost byla veřejně oznámena 15. 7. 2025.

Google Chrome - heap corruption (CVE-2025-7657) CVSS 7.1 (High)

Neautentizovanému vzdálenému útočníkovi je prostřednictvím speciálně vytvořené HTML stránky kvůli zranitelnosti typu use-after-free v komponentě WebRTC umožněno poškodit data v paměti [3].

Zranitelnost se nachází v produktu Google Chrome ve verzích <138.0.7204.157.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:L

Více informací:

Zranitelnost byla veřejně oznámena 15. 7. 2025.

Za CESNET-CERTS Michaela Ručková dne 21. 7. 2025.

CESNET CERTS Logo