Dva prijavljena propusta su visokog rizika i odnose se na „type confusion” i nepravilnu implementaciju u V8 JavaScript engine-u pregledača.
Google je objavio stabilnu verziju Chrome 142 sa zakrpama za 20 ranjivosti, uključujući sedam visokog, osam srednjeg i pet niskog stepena ozbiljnosti.
Četiri ranjivosti visokog rizika koje su ispravljene u ovom izdanju odnose se na V8 JavaScript i WebAssembly engine. Za dvije od njih Google je isplatio ukupno 100.000 dolara u okviru programa za nagrađivanje istraživača ranjivosti.
Prva, označena kao CVE-2025-12428, predstavlja „type confusion” propust u V8 engine-u, za koji je Man Yue Mo iz GitHub Security Lab-a nagrađen sa 50.000 dolara. Sličan iznos je dobio i Aorui Zhang, koji je prijavio ranjivost CVE-2025-12429, povezanu sa nepravilnom implementacijom u JavaScript engine-u.
Kao i obično, kompanija nije otkrila tehničke detalje o novim propustima. Ipak, na osnovu iznosa nagrada može se pretpostaviti da bi ove ranjivosti potencijalno mogle omogućiti izvršavanje zlonamjernog koda na daljinu (RCE).
Google je takođe isplatio 10.000 dolara za ranjivost visokog rizika u komponenti Media povezanu sa životnim ciklusom objekata i 4.000 dolara za nepravilnu implementaciju u Extensions.
Međutim, tri druge visokorizične ranjivosti u V8 otkrio je Big Sleep AI agent, kojeg su razvili Google DeepMind i Project Zero krajem 2024. godine, pa za njih nije isplaćena nagrada.
Chrome 142 je takođe zakrpio ranjivosti srednjeg rizika u komponentama Storage, Omnibox, Extensions, PageInfo, Ozone, App-Bound Encryption i V8, kao i niskorizične propuste u Autofill, WebXR, Fullscreen UI, Extensions i SplitView.
Ukupno, Google je isplatio 130.000 dolara za propuste otklonjene u ovom izdanju. Za pet njih nagrade nisu planirane, dok se iznosi za još dvije ranjivosti tek treba objaviti.
Kompanija je navela da nijedna od zakrpljenih ranjivosti nije aktivno iskorišćena u napadima.
Najnovija verzija Chrome-a dostupna je kao 142.0.7444.59 za Linux, 142.0.7444.59/60 za Windows i 142.0.7444.60 za macOS.
Izvor: SecurityWeek
