Chrome 142 łata aktywnie wykorzystywaną lukę w V8 (CVE-2025-13223). Aktualizuj natychmiast

Wprowadzenie do problemu / definicja luki

Google udostępnił 17 listopada 2025 r. aktualizację stabilnego kanału Chrome do 142.0.7444.175/.176 (Windows), 142.0.7444.176 (macOS) i 142.0.7444.175 (Linux). Łatka naprawia dwie luki wysokiej wagi w silniku V8, z czego CVE-2025-13223 jest aktywnie wykorzystywana („in the wild”). Druga luka to CVE-2025-13224, również „type confusion” w V8.

W skrócie

• Zero-day: CVE-2025-13223 (V8, type confusion) – aktywnie wykorzystywana.
• Druga luka: CVE-2025-13224 (V8, type confusion) – załatana w tym samym wydaniu.
• Wpływ: zdalne naruszenie pamięci/heap corruption, potencjalnie wykonanie kodu po wizycie na spreparowanej stronie.
• Działanie teraz: zaktualizować Chrome/Chromium-based przeglądarki i zrestartować, wymusić update w MDM/Intune/GPO, nadać wysoki priorytet zgodny z polityką „zero-day”. (Uzasadnienie niżej)

Kontekst / historia / powiązania

Rok 2025 przyniósł serię poważnych błędów w Chrome, wielokrotnie dotyczących V8. Nowe wydanie 142 dołącza do tegorocznych aktualizacji bezpieczeństwa, które regularnie łatały błędy pamięci w komponentach przeglądarki. Media branżowe odnotowują, iż CVE-2025-13223 to kolejny aktywnie wykorzystywany błąd V8 w 2025 r.

Analiza techniczna / szczegóły luki

• Klasa podatności: Type confusion w V8 – sytuacja, w której mechanizm JIT/optimizera traktuje obiekt jak inny typ, co prowadzi do błędów semantyki typu i ostatecznie do korupcji sterty.
• CVE-2025-13223: zgłoszona 12.11.2025 przez Clémenta Lecigne (Google TAG). Google potwierdził aktywną eksploatację.
• CVE-2025-13224: wykryta wcześniej (09.10.2025), również type confusion w V8; według NVD podatne wersje to Chrome przed 142.0.7444.175.
• Skutki techniczne: „heap corruption” i potencjalne RCE po otwarciu złośliwej strony/HTML – wektor drive-by. (Opis ryzyka NVD dla 13224 i biuletyny CERT potwierdzają charakter błędu).

Praktyczne konsekwencje / ryzyko

• Użytkownicy końcowi: pojedyncza wizyta na stronie może wystarczyć do kompromitacji przeglądarki/procesu renderera; łańcuch exploitów może dążyć do sandbox escape. (Typowe dla tej klasy błędów V8).
• Organizacje: ryzyko malvertising/watering-hole, szczególnie dla profili wysokiego ryzyka, które śledzi zespół Google TAG.
• Chromium-based: Edge, Brave, Opera zwykle dziedziczą te same łatki; do czasu wydania aktualizacji przez dostawców – podwyższony poziom ryzyka (praktyka potwierdzona w poprzednich falach łatek). Źródła branżowe i CERT potwierdzają pilność.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowa aktualizacja:
   • Chrome do 142.0.7444.175/.176 (Win), 142.0.7444.176 (macOS), 142.0.7444.175 (Linux) + restart przeglądarki.
2. Zarządzanie flotą:
   • W MDM/Intune/GPO wymuś TargetVersionPrefix=142, ustaw automatyczny restart po aktualizacji, monitoruj version drift. (Dostosuj do polityk firmy.)
3. Monitoring/Detection:
   • Podnieś czułość na anomalie procesów chrome.exe/chrome (spawn nietypowych child-processów, zewnętrzne shell’e).
   • W proxy/IDS szukaj nietypowych kampanii drive-by i aktywności malvertising.
4. Hardening tymczasowy (wysokie ryzyko/role wrażliwe):
   • Włączyć Site Isolation i ograniczyć JIT przez chrome://flags tylko jeżeli akceptowalny spadek wydajności (środek tymczasowy do czasu pełnej propagacji).
5. Chromium-based:
   • Śledź kanały aktualizacji Edge/Brave/Opera i wymuś update, gdy pojawią się buildy z gałęzi 142.
6. Komunikacja:
   • Oznacz incydent jako „zero-day browser” w rejestrze ryzyka, powiadom użytkowników o koniecznym restarcie po aktualizacji.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W 2025 r. Google już kilkukrotnie łatal type confusion w V8; obecny przypadek powtarza schemat: szybka publikacja łatki, ograniczone szczegóły techniczne do czasu powszechnej aktualizacji. Doniesienia branżowe podkreślają, iż to kolejny aktywnie nadużywany błąd V8 w tym roku, co wzmacnia tezę, iż pamięcio-bezpieczeństwo w JIT pozostaje stałym wektorem ataków.

Podsumowanie / najważniejsze wnioski

• Aktualizacja do Chrome 142 jest pilna: CVE-2025-13223 już jest wykorzystywana.
• Obie luki (13223, 13224) dotyczą V8 (type confusion) i mogą prowadzić do RCE poprzez stronę WWW.
• Administratorzy powinni wymusić aktualizację i restart, monitorować propagację wersji oraz szykować reguły detekcyjne pod drive-by.

Źródła / bibliografia

• Google Chrome Releases – „Stable Channel Update for Desktop”, 17.11.2025. (numery wersji, CVE, potwierdzenie „in the wild”) (Chrome Releases)
• NVD (NIST) – CVE-2025-13224: opis klasy błędu, zakres wersji podatnych. (NVD)
• HKCERT – „Google Chrome Multiple Vulnerabilities”: potwierdzenie aktywnej eksploatacji CVE-2025-13223 i ryzyka RCE. (HKCERT)
• The Hacker News – omówienie kontekstu i trendu zero-day V8 w 2025 r. (The Hacker News)
• Tenable – wpis CVE dla CVE-2025-13223/13224 (uzupełniający opis). (Tenable®)