Google je u ponedjeljak objavio hitno ažuriranje za Chrome 142 kako bi ispravio ranjivost koja se aktivno eksploatiše kao zero-day.
Pratena kao CVE-2025-13223 (CVSS 8.8), ova visoko rizična greška opisana je kao type confusion ranjivost u V8 JavaScript i WebAssembly pokretaču.
Greške u rukovanju memorijom, koje mogu izazvati neočekivano ponašanje softvera, omogućavaju da type confusion dovede do padova aplikacije, izvršavanja malicioznog koda na daljinu i drugih malicioznih operacija.
Type confusion ranjivosti u V8 pokretaču obično se mogu eksploatisati preko posebno kreiranih HTML stranica koje omogućavaju daljinsko čitanje i upisivanje podataka.
„Google je svjestan da eksploat za CVE-2025-13223 postoji u divljini“, navodi tehnološki gigant u savjetu, bez otkrivanja detalja o grešci ili načinu eksploatacije.
Ipak, kompanija kaže da je ranjivost prijavio Clément Lecigne iz Google Threat Analysis Group (TAG) 12. novembra, što ukazuje da je komercijalni proizvođač špijunskog softvera vjerovatno ciljao ovaj propust u napadima.
TAG istraživači već su otkrili brojne ranjivosti koje eksploatišu komercijalni špijunski alati, uključujući i one u Chrome-u.
CVE-2025-13223 je sedmi zero-day ispravljen u Chrome-u ove godine. Prethodni, šesti, zakrpljen je u septembru.
Ažuriranje pregledača takođe ispravlja CVE-2025-13224, još jednu type confusion grešku u V8, koju je prijavio Big Sleep AI agent.
Google ne navodi da se ovaj propust eksploatiše u divljini, ali je ranije pohvalio Big Sleep zbog otkrivanja ranjivosti za koje su hakeri već znali i spremali se da ih eksploatišu.
Najnovija verzija Chrome-a sada se isporučuje kao 142.0.7444.175 za Linux, 142.0.7444.176 za macOS, te 142.0.7444.175/.176 za Windows.
Izvor: SecurityWeek