[TLP:CLEAR] Google Chrome opravuje vysoce závažnou zranitelnost
Google opravuje vysoce závažnou, aktivně zneužívanou [1] zranitelnost v produktu Google Chrome týkající se také jiných webových prohlížečů založených na Chromium [2]. Oprava je k dispozici v Chrome pro Linux ve verzi 138.0.7204.92, Windows ve verzi 138.0.7204.96/.97 a macOS ve verzi 138.0.7204.92/.93 [3]. Microsoft Edge zranitelnost opravuje verzí 138.0.3351.65 [4].
Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu type confusion v JavaScript enginu V8 skrze speciálně vytvořenou HTML stránku umožněno libovolně číst nebo zapisovat [5][3].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Více informací:
- CVE-2025-6554 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 30. 6. 2025.
Odkazy
- [1] https://www.cisa.gov/news-events/alerts/2025/07/02/cisa-adds-one-known-exploited-vulnerability-catalog
- [2] https://thehackernews.com/2025/07/google-patches-critical-zero-day-flaw.html
- [3] https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_30.html
- [4] https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
- [5] https://nvd.nist.gov/vuln/detail/CVE-2025-6554
Za CESNET-CERTS Michaela Ručková dne 9. 7. 2025.
