A Google hétfőn publikálta a Chrome 142-es frissítését, egy már aktívan kihasznált zero-day sérülékenység javítására. A CVE-2025-13223 azonosítón nyomon követett, a V8 JavaScript- és WebAssembly motort érintő, magas súlyosságú (CVSS pontszáma 8.8) típuskonfúziós (type confusion) sebezhetőség.
A memóriabiztonsági hibák, mint a típuskonfúzió, váratlan szoftverviselkedést okozhatnak és a böngésző összeomlásához, távoli kódfuttatáshoz (RCE), illetve más rosszindulatú műveletekhez vezethetnek. A V8 motorban található típuskonfúziós sérülékenységek jellemzően speciálisan kialakított HTML-oldalakon keresztül használhatók ki, amelyek távoli memória-olvasási és -írási műveletek végrehajtását teszik lehetővé.
A Google biztonsági közleményében jelezte, hogy tudomása van a sebezhetőségről és annak aktív kihasználásáról. A vállalat azt is megerősítette, hogy a sérülékenységet a Google Threat Analysis Group (TAG) kutatója, Clément Lecigne jelentette november 12-én. Ez arra utal, hogy a sérülékenységet feltehetően egy commercial spyware használhatta ki célzott támadásokban. A TAG kutatói korábban is azonosítottak számos olyan sérülékenységet, köztük Chrome-sérülékenységeket is, amelyeket commercial spyware-ek használtak ki.
A CVE-2025-13223 az idei év hetedik zero-day sérülékenysége, amelyet a Chrome-ban javítottak. A böngészőfrissítés emellett javítja a CVE-2025-13224 azonosítón nyomon követett sérülékenységet is, amely egy másik típuskonfúziós probléma.
A Chrome legújabb verziója már elérhető:
- Linux: 142.0.7444.175
- macOS: 142.0.7444.176
- Windows: 142.0.7444.175 /.176
A felhasználóknak javasolt mielőbb telepíteniük a frissítést.